在數分鐘內輕松部署和擴展數據豐富的應用程序。Mesosphere DC / OS包括在生產中彈性運行容器化應用程序和數據服務所需的一切。
AWS公司在云計算市場長期處于領先地位。但是如今,越來越多的公司正在采用其他云計算供應商。通常這不是用一個廠商云平臺替換另一個云平臺,而是不同的業務需求(如管理風險和成本)適合不同的云供應商的問題。使用多個供應商云平臺的其他因素是,供應商競相為其產品定性,并不斷添加新功能。此外,許多運行微軟Azure的組織都提供了免費的Azure信用額度。那么為什么不充分利用并降低總體云計算成本呢?
運行多云環境沒有任何問題,而實際上這可能是企業精心策劃的一部分。但是當企業這樣做時,需要確保其采取適當的安全措施。在這里將介紹當企業進入多云環境時應該關注的五個原則。首先,來看看全球市場上的主要的廠商。
公共云市場的三大主角
在全球公共云平臺世界中有三大主角:亞馬遜網絡服務(AWS),微軟Azure,谷歌云平臺。 AWS是成立最早的公共云平臺,并且占有最大的市場份額,在全球云計算市場占據57%的份額,微軟Azure擁有34%的份額,而谷歌云平臺擁有15%的市場份額。
一篇名為“公共云戰爭:AWS vs Azure vs Google”提供了一個很好的分析,在幾方面對這些主要因素進行比較:
•計算能力
•存儲和數據庫
•聯網
•定價
如果企業想要確定在每個服務中運行的環境和資源,那么本文將給出一個明確的條目。
現在,來討論如何確保企業的多云環境。
如何在多云環境中運行安全
(1)避免ShadowOps
如果組織同意使用不同的供應商的服務,運行多個云環境,那么這一切都很好。如果這樣做的好處超過成本,那么一定要利用競爭優勢來降低成本,并獲得所需的功能。也就是說,很多組織關閉了幾個獨立的AWS賬戶,或者采用一些分散在AWS,Azure和Google的不同實例。當DevOps團隊成員決定對其特定用例進行最佳選擇時,可能會發生這種情況,而無需考慮哪個最適合整個組織。
正如人們對ShadowOps所解釋的不是糟糕的DevOps那樣,這樣做可以使組織安全性更低。有趣的是,到2020年,三分之一的企業經歷的成功攻擊將是影響IT資源。因此,無論組織決定堅持使用一個云提供商提供服務還是分散的基礎架構,確保所有人參與,并了解為什么這是組織的最佳方法的原因。這將減少ShadowOps發生的數量,反過來又會提高組織的整體安全性。
(2)確定可見性的優先級
無論組織選擇什么云平臺,都需要確保所有實例都具有完整的可見性。這意味著當組織選擇云安全解決方案時,應優先選擇提供深度可見性的優先級,在理想情況下是在工作負載層。
在云中,基于簽名的監控措施是不夠的。組織應該專注于通過基于行為的監控來提高可見性。換句話說,組織想要一個解決方案,能夠放大觀察在所有實例的行為,并快速檢測異常行為。
組織的安全解決方案應該能夠:
•識別不受信任的系統修改
•通過對用戶和進程的行為監控來捕捉威脅
•立即檢測異常用戶,進程和文件活動
如果組織在云實例中具有完整的可見性,則無論其使用的是AWS,微軟Aure,谷歌云,還是這三者的混合,這都是無關緊要的。組織仍然可以安全地行。
(3)遵循最佳實踐
每個平臺都有自己的一套最佳實踐。所以如果組織要在多個平臺上運行實例,需要確保自己了解每個實例的最佳實踐。AWS提供了平臺上最佳實踐的指南,微軟Azure列表也有一系列深入討論各種云安全主題的文章,谷歌云平臺共享其最佳實踐列表。當然,還有很多的重疊,并且是一些一般規則應用,例如:
•隨時知道組織的環境正在發生什么。
•設置警報(按嚴重性排列),通知組織有關策略外的行為。
•滿足并超越合規要求。
•保持良好的狀態:保持一切更新和修補。
云計算供應商自己共享的最佳實踐是一個很好的開始,因為他們比任何人都更了解他們的技術,他們有責任教育和支持他們的客戶。除此之外,還有一些專家已經廣泛地撰寫了有關云安全最佳實踐的內容。
(4)專注于自動化
人類很容易出錯。專家在2017年的Gartner安全與風險管理峰會上指出,到2020年,95%的云計算安全失敗將成為客戶的錯誤。在安全方面,人為錯誤可能會引起各種風險。依靠機器自動執行常規的可重復任務是確保不損害安全狀態的好方法,尤其是在多個云供應商上運行多個實例的時候。
建議組織利用自動化來設計安全。要做到這一點,組織應該關注:
•更新云計算的治理規則
•了解共同的責任模式
•采取持續的風險治理方法
在云平臺中運行,組織的DevOps團隊能夠發展得更快。它能夠持續集成和持續的開發周期,可以讓組織在競爭中脫穎而出。但它也可能引入風險,因此組織希望確保利用自動化來確保所有安全最佳實踐得到有效管理,同時使錯誤最小化。
(5)堅持共同責任模式
最后,確保組織了解共享的責任模式。專家在2017年Gartner安全和風險管理峰會上指出,79%的企業在過去5年中經歷了實際轉化為重大運營風險。最重要的是,當組織利用公共云(無論是AWS,谷歌云平臺,微軟Azure還是這三個云平臺的任何組合)時,都可以保護云平臺中的所有內容。組織可以依靠AWS,Google和Microsoft這三家廠商提供服務來保護云本身,但組織必須確保其應用程序,數據和其他系統在云平臺中得到完全保護。如果有人在沒有權限的情況下登錄,并采取措施使組織面臨風險,組織需要確保其了解自己的責任在哪里開始和結束,并堅持到底。
總結
如今,越來越多的組織能夠利用云平臺上的競爭市場,這是一個非常好的現象。雖然AWS已經取得了明顯的領先優勢,但了解哪種公共云適合組織實現其目標,這值得組織努力探索。
只要組織將安全最佳做法放在首位,并采取措施確保云計算環境的可見性,企業將可以安全地利用公共云的優勢,而不會因任何潛在的缺陷而受到影響。
京公網安備 11010502049343號