云計算在迅猛發(fā)展的同時,也積累下了安全水平堪憂的負面口碑。不過隨著進一步完善,相信這種新型資源供給模式將很快具備超越傳統(tǒng)內(nèi)部IT體系的良好安全機制。
在談到IT安全這個議題時,云計算總是給人一種負面口碑典型代表的印象——實際情況可能也的確如此。將工作負載從傳統(tǒng)內(nèi)部體系當中遷移至公有、私有乃至混合云架構當中,往往會導致傳統(tǒng)安全工具徹底失效。這不僅引發(fā)了新的安全漏洞,同時也造成了諸多前所未見的安全盲點。然而云安全水平正在發(fā)展過程中日益提升,而且很快各類云安全工具就將全面超越任何非云類型的安全架構。
綜合各個角度來看,云安全正立足于似乎最為薄弱的基礎積蓄自己的保護力量。云服務供應商擁有獨特的定位,這種角色使其能夠吸收到規(guī)模龐大的數(shù)據(jù)集合。由于規(guī)模化云體系在地理層面上分布于全球各地,因此管理人員能夠從中提取到各類與安全情報相關的重要數(shù)據(jù)流。而這些情報不僅能夠用于追蹤安全威脅動向,更能夠以更為迅捷的速度對其加以扼制。
當企業(yè)最終能夠接受云計算這一理念時,它將不再局限于對傳統(tǒng)企業(yè)網(wǎng)絡的延伸,而更多表現(xiàn)為中心焦點所在。最終用戶通過不同數(shù)據(jù)的入口點對云環(huán)境進行訪問,例如私有WAN或者公共互聯(lián)網(wǎng)。由于云體系對客戶而言屬于集中化入口點,這就保證其能夠成為理想的安全客戶端/服務器通信位置,同時作為加密密鑰的惟一管理點。
最后,隨著云計算與軟件定義技術的有機結合,我們將能夠在安全保護角度實現(xiàn)端到端可視化效果。在此之前,還從來沒有哪位IT安全管理員能夠通過這種方式實現(xiàn)如此水平的軟件覆蓋能力,而這相當于將網(wǎng)絡環(huán)境加以平面化、從而確保安全手段能夠以更加簡潔輕松的方式得到管理。
多年以來,云計算的發(fā)展速度一直高于為其提供保護的云安全技術。而從2015年開始直到將來,二者之間的差距似乎正在不斷縮小。在今天的文章中,我們將共同分享幾款云安全工具及架構,相信它們的出現(xiàn)代表著企業(yè)未來將能夠輕松愉快地利用將云計算服務納入主流業(yè)務體系,而大家也可以通過新的角度重新認識云安全。
大數(shù)據(jù)威脅情報
公有云在數(shù)據(jù)安全匯聚方面處于優(yōu)勢地位。它能夠汲取互聯(lián)網(wǎng)數(shù)據(jù),例如網(wǎng)站請求及郵件樣本,并通過運行大數(shù)據(jù)安全情報系統(tǒng)發(fā)現(xiàn)全球范圍內(nèi)的各類惡意軟件以及網(wǎng)絡入侵活動。我們利用云計算精確定位并準確評估安全威脅的速度越快,我們就能越早對自有基礎設施加以調(diào)整,從而更為主動地應對這些威脅因素。
加密證書與密鑰管理
隨著數(shù)據(jù)開始向傳統(tǒng)手段無法保護的安全邊界移動,加密機制在企業(yè)環(huán)境當中的地位也在不斷提升。對于IT部門來講,最主要的加密難題就是證書與密鑰管理。以Venafi(這家公司最近剛剛從英特爾手中籌得3900萬美元融資)為代表的眾多安全方案供應商已經(jīng)能夠提供完善的證書與密鑰管理系統(tǒng),從而幫助企業(yè)客戶對全部云流量進行加密。這一流程除了對密鑰及證書過期日期進行追蹤之外,也會通過系統(tǒng)級掃描對云環(huán)境下的丟失或遺忘密鑰、證書進行識別。
自我修復且具備追溯能力的惡意軟件保護方案
歸功于云環(huán)境強大的大數(shù)據(jù)安全信息匯聚能力,我們現(xiàn)在不僅有機會更有效地在惡意軟件侵襲企業(yè)之前就將其制服,同時還能在安全事故發(fā)生之后更有效地加以恢復。跨越各業(yè)務體系及云網(wǎng)絡的全部網(wǎng)絡相關修改數(shù)據(jù)都能得到收集與整理。當惡意活動被發(fā)現(xiàn)之后,我們能夠利用這些信息識別、追溯并恢復任何在此期間受到影響的文件以及惡意軟件對系統(tǒng)作出的修改。
“烘”入安全
物聯(lián)網(wǎng)技術革命已經(jīng)近在咫尺,云與IT安全供應商則面臨著為數(shù)十億臺物聯(lián)網(wǎng)設備提供安全保障這一嚴峻挑戰(zhàn)。由于物聯(lián)網(wǎng)終端及傳感器將直接與云端進行通信,因此我們必須直接“烘”入安全機制以確保物聯(lián)網(wǎng)設備只能與云端交互——同時在無需人為介入的前提下自動根據(jù)最新安全策略實現(xiàn)更新。
端到端可視化
由于云軟件定義網(wǎng)絡(簡稱SDN)的持續(xù)發(fā)展,云安全當中所存在的各類安全盲點將很快成為歷史。SDN能夠覆蓋云網(wǎng)絡的所有復雜性因素,并創(chuàng)建出更易于管理的虛擬網(wǎng)絡體系。通過這種方式,SDN允許IT管理員查看整套網(wǎng)絡,并根據(jù)實際情況控制數(shù)據(jù)流及安全策略。最終,我們將在云環(huán)境下享受到更出色的安全實現(xiàn)方式、更快的應急響應能力以及更清晰的企業(yè)數(shù)據(jù)所在位置(及具體訪問者)。
DDoS避震裝置
盡管分布式拒絕服務(簡稱DDoS)攻擊已經(jīng)存在了幾十年,但其成熟度與產(chǎn)生的影響亦在不斷演進。傳統(tǒng)的企業(yè)架構無法保護自身免受大規(guī)模DDoS攻擊的侵擾,因為DDoS攻擊擠占網(wǎng)絡連接的速度要遠大于應對措施的處理速度。DDoS保護工作的關鍵在于搶在其接入企業(yè)門戶之前就加以阻止。以Akamai及CloudFlare為代表的云服務供應商能夠利用自身規(guī)模龐大的資源體系吸收這種影響(類似于車輛上的避震裝置)。結果就是,DDoS攻擊能夠在直接觸及用戶網(wǎng)絡邊緣之前就得到控制。
總結陳詞
以云為關注重點的安全工具在2015年獲得了長足進步。隨著企業(yè)對于網(wǎng)絡安全威脅的持續(xù)重視,云技術將很有可能成為保護企業(yè)免受外部威脅侵擾的重要手段。您對于云安全有何認識?云安全又對您所在的企業(yè)產(chǎn)生了怎樣的影響?歡迎您分享真知灼見。
原文標題:Why Cloud Security Beats Your Data Center
京公網(wǎng)安備 11010502049343號