IT世界已遷移到云端。市場數(shù)據(jù)各異,但對云使用的估測顯示,當今總體計算工作負載的20-25%,都運行在公共云環(huán)境中,未來5年這一數(shù)字還將增長至50%(高盛投資公司預(yù)測)。
公司企業(yè)開始在混合環(huán)境中運營,包括了公共云、私有云和虛擬化環(huán)境。對大多數(shù)公司而言,這意味著需要有能服務(wù)于該整體基礎(chǔ)設(shè)施的安全控制措施。
就像邊界防御不足以防護公司網(wǎng)絡(luò)一樣,云端工作負載也不是默認安全的。AWS共享責(zé)任模型將這一點表達得很清楚。
AWS照看著底層基礎(chǔ)設(shè)施,但其客戶依然要負責(zé)自身云端數(shù)據(jù)和應(yīng)用的安全、合規(guī)及操作控制。這意味著,安全配置、漏洞管理和日志管理等基礎(chǔ)控制,無論在云端還是在本地,都同樣重要。
由于云端和本地兩種環(huán)境中的控制方式不同,如果計劃將工作負載遷往云端,你可能會面臨一些挑戰(zhàn)。
云基礎(chǔ)設(shè)施與本地基礎(chǔ)設(shè)施迥異。如果原本的安全和合規(guī)控制是為本地環(huán)境設(shè)計的,千萬別假定它們在云端也能正常工作。比如說,可能缺乏對 亞馬遜Linux或Docker容器等面向云的技術(shù)的支持。反之,也別假設(shè)為云設(shè)計的控制措施,能在本地環(huán)境工作良好。
如果你的控制措施不能支持兩種環(huán)境,最終結(jié)果可能就是每種環(huán)境都要部署一套控制措施。多環(huán)境多控制情況下,不僅僅是部署,包括管理和報告都會很麻煩,時間傷不起。另外,如果各基礎(chǔ)設(shè)施上數(shù)據(jù)收集不持續(xù),監(jiān)管空白也會出現(xiàn)。
另外一個難點在于,彈性計算環(huán)境的動態(tài)特性。彈性計算環(huán)境中,資產(chǎn)是按需求擴充的,隨時可能上線和下線。你的安全控制要能適應(yīng)這種云資產(chǎn)快速創(chuàng)建和銷毀的需求。否則,可見性空白和錯誤就會隨著主機的出現(xiàn)/消失而產(chǎn)生。
兩家大型金融服務(wù)公司的實踐操作展現(xiàn)了該如何克服此一難點。這兩家公司均將重點放在了最小化新機器鏡像接收和推出之間的時間差上。他們實現(xiàn)的控制可以在鏡像被接收時自動建立基準線。后續(xù)的改變也是實時檢測的,不留一點兒暴露窗口時間,確保持續(xù)遵從所有現(xiàn)行規(guī)則。
快速部署鏡像的能力,即便只有幾個小時,也能使其應(yīng)用開發(fā)人員充分利用云技術(shù)那前所未有的靈活性,享受持續(xù)的防護和長期審計跟蹤。
換句話說,確保你的基礎(chǔ)控制支持你整個基礎(chǔ)設(shè)施上的各種策略、操作系統(tǒng)、平臺和技術(shù)。
考慮一下能做到下列幾點的工具集:
監(jiān)視本地和外部環(huán)境;以統(tǒng)一的管理和報告環(huán)境,跨本地和云網(wǎng)絡(luò)應(yīng)用同一套健壯的控制措施;動態(tài)上下線節(jié)點,確保彈性環(huán)境中的持續(xù)監(jiān)測;本地策略和平臺之外,還要增加對云策略和平臺的支持;評估Docker容器之類的開發(fā)運維和面向云的技術(shù);在所選擇的環(huán)境中(如:AWS、Azure、VMWare等)輕松部署預(yù)固化的主機鏡像。總之,可預(yù)見的將來,你可能需要防護本地和云端兩種環(huán)境。但不是所有解決方案都能在兩種環(huán)境之間正常工作,所以,別假定本地運作良好的解決方案也能在云端表現(xiàn)不錯。