多云部署讓企業對規劃進行了大量的思考,特別是在安全性方面。專家Dave Shackleford觀察到了多云的挑戰。
隨著越來越多的企業不斷在跨應用、平臺和服務中增加云的使用,多云一詞越來越受到關注。 但是這個術語也帶來了一些疑惑。例如,什么是多云?
對大多數組織來說,只是使用幾種不同的云服務進行組合,創建一個混合模型來共享數據、應用組件、連接,或者這三者的組合。對許多人來說,這可能是不同基礎設施即服務(IaaS)和平臺即服務環境之間的簡單混合云,例如使用Docker和Azure。或者是IaaS和幾個 集成到內部部署和云應用環境中的軟件即服務。
多云部署中的數據分類和聯網
在處理多個云提供商時,企業會考慮到一些安全問題。第一個是數據分類,它真正適用于哪種云部署,而不是多云部署。確保你的企業已經有了政策和治理方法,以跟蹤你正在使用的云環境中允許運行哪些數據。這在多云架構中變得更加重要,因為不同的云提供商之間暴露或共享數據,也將有不同的安全策略和功能,如果未仔細地映射供應商之間的共享數據,則可能會影響你的合規狀態。
第二個重點是網絡和應用互連。大多數多云部署嚴重依賴網絡連接,這些網絡連接一般是對應用組件使用TLS; 對完全連接的網絡子網則使用IPsec。確保攜帶敏感信息的所有連接都使用了適當的類型和級別的保護進行加密。
多云安全的進一步思考
理想情況下,多云環境的所有認證和授權將利用共享形式的訪問管理。這應該適用于最終用戶訪問,以及管理訪問和控制。共享訪問和身份管理的完成,一般是通過使用內部的單點登錄,同時,也越來越多地通過身份即服務提供商,這些提供商通過聯邦標準與多個云提供商集成。
所有用戶、組和角色都應該認真地定義訪問多云部署的權限,而且這個中央身份和訪問平臺,無論是內部還是云商,都應該集中審核、控制。
安全事件管理是在多云部署計劃占相當大的部分,因為云端日志記錄將只涵蓋該供應商環境的事件。理想情況下,所有日志應發送回到內部安全信息和事件管理或分析系統,或基于云的事件管理平臺上,如Splunk Cloud、Loggly或Sumo Logic。
遷移到多個云提供商環境時,要考慮到正在使用的第三方安全供應商的產品,因為目前不是所有的云安全產品都支持所有的云提供商。 例如,發現某些安全供應商設備在Amazon Web Service(AWS)Marketplace中有,但不在Azure Marketplace中有,反之亦然。如果你對單一供應商進行重大投資,那么當你移動到多云時,這可能會限制新云環境中可用的安全控制。
特別要注意那些提供加密管理,和對系統及應用配置、性能可見的工具,因為這些工具無法被替代,而且成本也常常是雙倍的。
使用多云部署的一個真正的安全優勢是,可以找到最適合企業運行環境的云提供商的安全控制,并加以利用。例如,Microsoft Azure可能會提供比其他提供商更好的本機Windows系統和應用程序控件,但是Amazon提供了可配置的分布式拒絕服務預防服務(AWS Shield),可以作為更好的前端防線,因為DNS和路由可能在AWS內部就是現成的。為了利用這一優勢,在評估云提供商時,安全控制將成為首要考慮因素,不幸的是并不總是這樣。
盡管面臨著安全挑戰,企業還將繼續遷移到多云部署中,因為不同的云提供商提供了不同的靈活性和成本節約。隨著企業的發展,企業需要牢記多云架構的潛在風險以及保護這種環境的最佳做法。
京公網安備 11010502049343號