通過采用正確的計劃,管理多云安全架構(gòu)將比許多人認(rèn)為得更加容易。制定云計算安全集成計劃必須克服某些挑戰(zhàn)。其中一個挑戰(zhàn)是建立一致的跨云安全策略,該策略不僅涵蓋初始部署,而且還涵蓋由可用安全工具和服務(wù)支持的安全策略的持續(xù)維護(hù)。
企業(yè)的業(yè)務(wù)在多云環(huán)境中工作時,可以在所有的公共云和私有云集中管理安全工具以及工具中創(chuàng)建的策略。然而,不能保證這些工具在第三方云計算基礎(chǔ)設(shè)施中是最佳的甚至可用的。因此,選擇符合企業(yè)內(nèi)部部署安全標(biāo)準(zhǔn)的工具和策略非常重要,并需要提供在每個云計算基礎(chǔ)設(shè)施中一致運行的靈活性。
多云架構(gòu)的集中可見性和監(jiān)視是另一個挑戰(zhàn)。根據(jù)業(yè)務(wù)所依賴的公共云和私有云,每種云平臺都將提供不同級別的可見性。此外,許多內(nèi)部部署工具可能無法提供其慣用的必要監(jiān)視級別。這種可見性的缺失將會造成漏洞,將給企業(yè)業(yè)務(wù)帶來威脅。
同樣,從網(wǎng)絡(luò)和安全角度來看,多云架構(gòu)將會增加復(fù)雜性。可能會發(fā)生安全策略和工具錯誤配置或誤讀。諸如多云管理或網(wǎng)絡(luò)覆蓋之類的現(xiàn)代平臺可以幫助減少在跨多個云計算基礎(chǔ)設(shè)施創(chuàng)建和推送安全策略時出現(xiàn)人為錯誤的機(jī)會,但是這些工具增加了復(fù)雜性,從而導(dǎo)致其他安全錯誤。最好的建議是企業(yè)在考慮與其計劃合作的云計算提供商時,需要正確評估所涉及的風(fēng)險,以及提供工作人員管理跨云平臺安全架構(gòu)的能力。
在多云環(huán)境中保持安全可見性
在多云環(huán)境中保持可見性是安全基礎(chǔ)設(shè)施架構(gòu)的關(guān)鍵部分。在理想情況下,可見性應(yīng)擴(kuò)展到網(wǎng)絡(luò)級別。有幾種工具(所有這些工具都可以集中管理)可用于提供多云的可見性。多年來,安全事件和事件管理(SIEM)工具提供了大部分可見性。但是,SIEM工具嚴(yán)重依賴于日志數(shù)據(jù),這取決于云計算服務(wù)提供商的不同級別的粒度。因此,通過使用SIEM工具的可見性可能不會像某些人想象得那樣有效。
與其相反,網(wǎng)絡(luò)檢測和響應(yīng)(NDR)這個IT安全的新興領(lǐng)域可能更適合于在混合網(wǎng)絡(luò)和多云網(wǎng)絡(luò)之間提供必要的可見性。NDR通過從企業(yè)網(wǎng)絡(luò)中各個平臺(包括私有云和公共云)中提取網(wǎng)絡(luò)遙測數(shù)據(jù)來監(jiān)視流量。數(shù)據(jù)是從包括NetFlow、深度數(shù)據(jù)包檢查和其他流網(wǎng)絡(luò)遙測在內(nèi)的資源獲取的。然后將數(shù)據(jù)發(fā)送到分析工具,在分析工具中將數(shù)據(jù)解碼并整合在一起,以準(zhǔn)確了解網(wǎng)絡(luò)上的設(shè)備以及通話的對象。在完成之后,就會形成流量基線,并從安全角度分析流量,以識別流量模式異常、次優(yōu)性能指標(biāo),以及與已知和未知威脅的匹配。
從多云可見性的角度嚴(yán)格來看,可以在IaaS云平臺中部署NDR平臺,以自動創(chuàng)建網(wǎng)絡(luò)可見性地圖,以識別所有網(wǎng)絡(luò)組件和連接的服務(wù)器設(shè)備。此外,該工具還顯示了服務(wù)器設(shè)備與其他設(shè)備之間的交互作用。這正是安全管理員所追求的細(xì)節(jié)級別,它的另一個優(yōu)勢是使用單一平臺在一個集中的平臺中監(jiān)控所有內(nèi)部部署和公共云資源。
組織應(yīng)如何應(yīng)對多云安全性?
多云安全的總體目標(biāo)是可以統(tǒng)一管理的統(tǒng)一的安全工具、流程和程序。對于收購其他公司的組織的IT人員來說,可能會對如何實現(xiàn)多云安全性有了一定的了解。例如,在收購方案中,被收購的企業(yè)可能具有自己的(可能與其他情況不同)網(wǎng)絡(luò)、服務(wù)器和應(yīng)用程序基礎(chǔ)設(shè)施,必須使用它們來適應(yīng)母公司的數(shù)據(jù)安全級別。因此,第一步是其工作人員確保完全了解要使用的新基礎(chǔ)設(shè)施。這項調(diào)查的結(jié)果將顯示新基礎(chǔ)設(shè)施與其現(xiàn)有的基礎(chǔ)設(shè)施之間的差距,這與檢查新的公共云架構(gòu)時采用的方法完全相同。
下一步是檢查組織的內(nèi)部安全工具、流程和管理程序,以查看其中哪些將輕松適合新的基礎(chǔ)設(shè)施,哪些將需要修改或放棄,以支持適用于多云平臺中所有的云計算環(huán)境。這可能會很棘手,但是如果愿意并且能夠進(jìn)行必要的更改以實現(xiàn)跨云安全一致性,仍然有可能實現(xiàn)。這可能意味著必須擺脫IT安全團(tuán)隊喜歡的工具和流程,而支持適用于所有環(huán)境的工具和流程。
對于具有大規(guī)模多云目標(biāo)的企業(yè)來說,通過人工實現(xiàn)多云安全性方法可能不是最有效的時間和資源的利用方式。在這種情況下,采用多云管理或網(wǎng)絡(luò)覆蓋平臺等工具可能更合適。這兩種多云管理技術(shù)可幫助管理員使用其所需的安全工具和流程,而無需考慮基礎(chǔ)設(shè)施是什么。盡管這可以顯著簡化跨云安全策略,但是需要注意,這是以增加管理、覆蓋成本和復(fù)雜性為代價的。但是,對于計劃在三個或更多私有云或公共云平臺運行的企業(yè)來說,從長期的角度來看,出現(xiàn)額外的成本和復(fù)雜性可能是合理的。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。