多云和安全注意事項

責(zé)任編輯:cres

作者:Michael Bushong

2019-07-25 14:21:11

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

隨著企業(yè)將工作負(fù)載從內(nèi)部數(shù)據(jù)中心遷移到云平臺,采用多個云平臺已經(jīng)為各種規(guī)模的企業(yè)帶來了一些變革性的運(yùn)營實踐。

隨著企業(yè)將工作負(fù)載從內(nèi)部數(shù)據(jù)中心遷移到云平臺,采用多個云平臺已經(jīng)為各種規(guī)模的企業(yè)帶來了一些變革性的運(yùn)營實踐。應(yīng)用程序環(huán)境從內(nèi)部部署轉(zhuǎn)向公共云,從裸機(jī)轉(zhuǎn)移到容器,在安全領(lǐng)域也是如此。希望利用多云的企業(yè)需要確保安全性,這是最重要的考慮因素,并在更廣泛的行業(yè)應(yīng)用中不斷改進(jìn)其安全實踐。
 
外圍邊界仍然存在
 
雖然安全性已經(jīng)超越了外圍邊界,這是必要的,但還不足夠。
 
在多云環(huán)境中,企業(yè)業(yè)務(wù)的外圍邊界的概念會發(fā)生變化。當(dāng)工作負(fù)載分布在物理數(shù)據(jù)中心和一個或多個公共云時,外圍邊界必須從內(nèi)部部署的數(shù)據(jù)中心擴(kuò)展到云中。這通常意味著在云網(wǎng)關(guān)上部署安全路由(通常作為VPC網(wǎng)關(guān)的一部分)。
 
管理這種轉(zhuǎn)變的關(guān)鍵不僅僅是在云中部署防火墻。如果資源是可替換的,則無論工作負(fù)載位于何處,都需要統(tǒng)一應(yīng)用安全策略。無論應(yīng)用程序是在AWS云平臺還是Azure云平臺中,甚至是在內(nèi)部部署的數(shù)據(jù)中心都無關(guān)緊要。這意味著企業(yè)希望采用能夠在多云架構(gòu)中的多種基礎(chǔ)設(shè)施中設(shè)置安全策略的多云協(xié)調(diào)平臺。
 
當(dāng)然,這種架構(gòu)一直存在。隨著多云的發(fā)展,選項似乎只會增加。從一開始就為多樣化的、多個供應(yīng)商的環(huán)境進(jìn)行規(guī)劃,似乎是一種謹(jǐn)慎的保護(hù)措施,可以適應(yīng)多云的未來發(fā)展。
 
連接孤島
 
多云的多功能表明,企業(yè)最終需要將不同的資源整合在一起。這些基礎(chǔ)設(shè)施池之間的連接需要確定,這意味著可以在作為多云連接主干的廣泛的區(qū)域內(nèi)進(jìn)行可擴(kuò)展的加密。
 
當(dāng)然,不同的業(yè)務(wù)會有不同的需求。大型數(shù)據(jù)中心的運(yùn)行規(guī)模與遠(yuǎn)程分支機(jī)構(gòu)不同,遠(yuǎn)程分支機(jī)構(gòu)的應(yīng)用程序與云中運(yùn)行的實例不同。與外圍邊界一樣,這里的關(guān)鍵是管理廣域網(wǎng),使操作統(tǒng)一,盡管存在潛在的多樣性。
 
在理想情況下,企業(yè)將利用能夠管理外圍防火墻和構(gòu)成這些網(wǎng)關(guān)的安全路由器的多云協(xié)調(diào)平臺。這意味著隨著時間的推移,多云和SD-WAN將會融合。同樣,不能規(guī)劃未來將會增加企業(yè)基礎(chǔ)設(shè)施的投資風(fēng)險。
 
分割
 
雖然外圍安全和加密傳輸很重要,但多云安全的核心是分割和微分割。隔離應(yīng)用程序、租戶、設(shè)備等能力是任何緩解策略的關(guān)鍵。
 
在多云環(huán)境下,微分割存在三個挑戰(zhàn)。首先,粒度很重要。在正確的地點采取正確的操作是很重要的。正確的操作相當(dāng)簡單:阻塞、重定向、日志等等。但只有在目標(biāo)很重要的地方才這么做。這意味著分段需要在鏈接、端口、虛擬機(jī)、容器或云計算實例中強(qiáng)制執(zhí)行。如果太寬泛,其整治比消除威脅更糟糕。如果太狹窄,威脅依然存在。
 
第二個挑戰(zhàn)是運(yùn)營。如果必須跨越云平臺到數(shù)據(jù)中心等眾多基礎(chǔ)設(shè)施來管理策略,那么需要高效運(yùn)營。同樣,關(guān)鍵在于一個通用的編排平臺,它可以連接到不同的底層基礎(chǔ)設(shè)施,在整個端到端環(huán)境中提供可見性和控制。
 
必須考慮的第三個挑戰(zhàn)是需要在異構(gòu)環(huán)境中實現(xiàn)整體安全方法。這不僅僅是裸機(jī)服務(wù)器上的工作負(fù)載以及私有云和公共云的容器中的工作負(fù)載。事實上,這些多樣化的環(huán)境很可能由多云供應(yīng)商解決方案提供服務(wù),這意味著無論采用何種安全方法,都需要與多云供應(yīng)商合作視為一個必要條件。
 
安全永遠(yuǎn)不會結(jié)束
 
如果過去幾年教會了人們什么,那就是安全不是一項一勞永逸的任務(wù)。即使采取大量措施,仍將出現(xiàn)威脅。能夠在這種多樣化的環(huán)境中有效地執(zhí)行高級威脅檢測至關(guān)重要。
 
同樣,多樣性對設(shè)計提出了要求。任何的多云安全方法都是開放的。威脅情報源需要從其所在的任何位置獲取信息。其解決方案需要能夠快速了解??可用信息,然后在部署的任何基礎(chǔ)設(shè)施中采取緩解措施。
 
如果解決方案僅適用于多云架構(gòu)中的特定域甚至子域,那么采用多云必然采用多個云計算供應(yīng)商提供的云計算服務(wù),這意味著企業(yè)需要以不同的方式進(jìn)行規(guī)劃。
 
多云架構(gòu)中的連接性
 
如果目標(biāo)是提供深度防御,很明顯企業(yè)將需要基礎(chǔ)設(shè)施的每一部分協(xié)同工作。每個設(shè)備都需要發(fā)揮各自的作用。它是關(guān)于連接安全生態(tài)系統(tǒng)中資源的協(xié)調(diào)。
 
最終,提供連接安全層的關(guān)鍵是運(yùn)營。企業(yè)應(yīng)該密切關(guān)注他們所做出的決策所涉及的運(yùn)營影響,以確保每個決策使他們向安全和自動化的多云邁進(jìn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號