當談及使用公共云時,安全性問題是企業(yè)IT人士的頭號關(guān)注問題。使用五個專家提示,可以幫助用戶確認最適合他們的安全工具與安全策略。
云計算給業(yè)界帶來了許多的利好——包括可擴展性、彈性以及成本降低,但是有部分企業(yè)仍然對放棄內(nèi)部部署系統(tǒng)而使用公共云持謹慎態(tài)度。他們的憂慮大部分來源于,他們認為從本質(zhì)上來說云安全性要低于傳統(tǒng)IT系統(tǒng)。關(guān)于哪一種模式更安全的爭論還在持續(xù),但是爭論雙方都一致認為安全性問題仍然是任何IT環(huán)境中最受到關(guān)心的問題。
隨著混合云與多重云模式的出現(xiàn),云的復(fù)雜性進一步提升了。有鑒于此,供應(yīng)商們開發(fā)了新的安全技術(shù)以減少潛在的攻擊面以及填補安全漏洞。以下是SearchCloudComputing截至2016年可用于克服共同云安全挑戰(zhàn)的頂級提示。
在你的組織中證明云計算的安全性
云安全最大的挑戰(zhàn)之一就是說服企業(yè)管理層,讓他們相信企業(yè)數(shù)據(jù)保持在公共云中也是非常安全的。幸運的是,IT專業(yè)人士可以有步驟地向管理層灌輸云安全的理念。云專家Dan Sullivan表示,用于緩解對云計算安全性擔憂的第一個方法就是研究潛在云供應(yīng)商的安全性與合規(guī)性證書。具體來說,就是尋找諸如ISO 27017:2015、ISO 9001:2008 以及多層云安全3級標準之類的證書。
IT專業(yè)人士也應(yīng)強調(diào)如下事實,即大多數(shù)云供應(yīng)商都擁有足夠的經(jīng)濟能力用于研發(fā)安全技術(shù)以供大量用戶使用。但是在涉足其中之前,記住,云計算供應(yīng)商使用的是一種與用戶共同分擔責任的安全模式;供應(yīng)商負責他們設(shè)施、網(wǎng)絡(luò)以及服務(wù)的物理安全性,而企業(yè)用戶則需對系統(tǒng)和應(yīng)用負責。
考慮使用IAM來應(yīng)對云安全挑戰(zhàn)
身份訪問管理(IAM)工具可以幫助IT團隊在云環(huán)境中管理用戶身份和訪問控制。但是,不同的企業(yè)需要的IAM方法也各不相同,專家David Linthicum說。熱門的IAM技術(shù)包括身份管理服務(wù)、訪問管理服務(wù)以及認證服務(wù)。對于企業(yè)來說,使用上述兩到三個服務(wù)也是比較常見的。
當制訂基于身份的安全策略時,應(yīng)特別注意其架構(gòu)設(shè)計。有一個能夠容納引進新技術(shù)的架構(gòu)是非常重要的。此外,還應(yīng)對所使用的所有IAM工具進行“白帽”測試以求發(fā)現(xiàn)漏洞。
使用云訪問安全中介來填補關(guān)鍵空白
隨著混合云和多重云模式的日益普及,對于云訪問安全中介(CASB)的需求也越來越高。CASB可以保護在內(nèi)部部署系統(tǒng)與云供應(yīng)商之間傳輸?shù)臄?shù)據(jù)。使用這一工具可幫助用戶識別來自內(nèi)部和外部的潛在威脅,并跟蹤用戶操作。此外,CASB可執(zhí)行追溯分析以發(fā)現(xiàn)可疑行為的起源。
雖然這個工具的好處多多,但是它也帶來了一些挑戰(zhàn),專家Paul Korzeniowski警告說。例如,因為CASB工具相對較新,所以它們很難與其他安全工具集成,即應(yīng)用程序編程接口似乎還不成熟。
針對這些多重云安全壁壘做好準備
多云計算之所以能夠吸引企業(yè)用戶,是因為它推動了一個“混合+匹配”的方法;企業(yè)可以選擇不同的云服務(wù)和供應(yīng)商以滿足他們各自獨特的需求。在理想情況下,IT團隊可以通過使用合適的負載平衡和故障切換技術(shù)來實現(xiàn)多個云平臺的緊密集成。
不幸的是,多云帶來的獨特云安全挑戰(zhàn)主要源于不同云平臺之間缺乏統(tǒng)一的標準,專家Stephen Bigelow說。不同供應(yīng)商之間的互操作性問題會暴露更多的潛在受攻擊面。此外,數(shù)據(jù)也是在大多數(shù)多云模式中跨公共互聯(lián)網(wǎng)傳輸?shù)?,其中有很多的漏洞。通過對員工進行合適的安全政策培訓(xùn)以及建立一個針對自動化與監(jiān)控的通用管理方法可降低此類風險。
為公共云建立網(wǎng)絡(luò)安全組
網(wǎng)絡(luò)安全組是解決公共云安全挑戰(zhàn)的一個良好開端。與防火墻技術(shù)類似,網(wǎng)絡(luò)安全組可保護一部分公共云面受外部訪問侵擾。它們還包含了在不同云實例之間傳輸?shù)臄?shù)據(jù),它們可幫助IT專業(yè)人士在公共云環(huán)境中對網(wǎng)絡(luò)服務(wù)控制進行管理。
在開始之前,應(yīng)研究如何在用戶特定供應(yīng)商的配合下對網(wǎng)絡(luò)安全組進行設(shè)置,因為這一過程是隨云平臺不同而不同的,專家Jim O'Reilly解釋道。例如,微軟Azure用戶可以使用Azure資源管理器門戶網(wǎng)站。為了應(yīng)對潛在威脅,應(yīng)避免直接通過互聯(lián)網(wǎng)對特定實例進行訪問,例如數(shù)據(jù)庫。如需實施額外保護,可創(chuàng)建一個三層云安全模式來控制應(yīng)用與服務(wù)之間的通訊。