云計算已經成為當今網絡中的重要組成部分,企業面臨的棘手的問題之一是云的管理。在企業數字化轉型和網絡模式轉型的過程中,組織不僅采用了云計算策略,還構建了一個更為復雜的多云環境。而現在企業開始面臨一些云計算的障礙,其中管理和保護多云環境是一大挑戰,尤其是在確保單一平臺的可見性時。
幾乎所有的組織都已經或計劃實施某種基于云的基礎設施來完成整合和集中數據中心或更有效地處理工作流程。基礎設施即服務(I aaS)提供了傳統網絡無法提供的可擴展性和彈性,現在組織正在部署多個來自不同提供商的IaaS環境。
公有云環境在帶來優勢的同時也存在很多挑戰,因此虛擬化正在逐漸演變成私有云。基于云計算的軟件服務,如銷售管理和離線存儲幾乎無處不在。根據第一季度Fortinet的威脅報告顯示,企業目前正在使用62個不同的云應用程序,約占其應用程序總數的三分之一。此外,大多數組織都有通過應用程序或服務存儲在云端的敏感或關鍵的數據,甚至企業的IT都不知道這些數據存儲在云端,這就是所謂的Shadow IT,一個日益嚴重的安全問題。
要將這些獨立的云環境進行編排逐漸成為很多IT團隊的真正挑戰,這些團隊仍然需要 管理他們的物理網絡、越來越多的端到端設備、物聯網(IoT)設備和不斷增長的基礎設施,將以前隔離的運營技術(OT)環境連接到網絡和互連網。
在不斷變化的環境中跟蹤設備和數據,建立和維護策略以及確保一致的安全狀態已經變得難以實現。此外,在多云環境下,已部署的各種基于云的服務通常無法互相通信,我們已經實現了一個高度交互式系統的網狀網絡,其實質是一個中心輻射的設計。隨之而來的是在檢測違規和惡意軟件、共享和關聯實時威脅情報以及有效的網絡響應方面面臨嚴峻的安全挑戰。
幸運的是,大多數企業仍然處于構建云計算基礎設施的初級階段,這意味著企業仍然可以規劃與網絡演進相關的風險。多云必須從有計劃的設計開始,企業不僅需要理解為什么要采用一系列特定的云服務,而且還需要了解數據、應用程序和工作流程如何在這些服務之間遷移,他們需要明確哪些地方存在風險。
一旦建立了安全基準,企業就需要選擇合適的工具來增強和保護這個動態且不斷發展的基礎設施。對很多企業來說,為保護其靜態物理環境而部署的部分或全部現有安全解決方案將無法保證其分布式多云環境的安全。同樣,他們需要避免繼續為每個云環境構建單獨的安全解決方案,或者部署獨立運行的專用安全工具。IT資源已經不堪重負,技能型網絡安全專業人才的短缺意味著擴大網絡的方式不能適用于日益復雜的安全環境。相反,需要根據安全解決方案的可見性、相關性和自動化來選擇安全解決方案。
可見性虛擬機按需增加或停止,數據按需遷移到應用中,工作流程將根據應用程序和最終用戶需要的動態變化進行轉變,從安全的角度看,用戶不僅需要能夠看到所有的這些變化,還需要一些方法可以應用和維護策略。
深入了解每個云應用實例對于確定正常流量、識別異常行為以及跟蹤和監測指標至關重要。這就要求安全工具能夠處理不對稱的數據流,查看并強制新設備,刪除不必要的規則,監控網絡中橫向遷移的流量,并隨著環境的變化立即進行調整。
相關性可視化是與安全工具之間相關性的需要,一個地區的政策變化可能會在其他地方產生影響和意想不到的后果。為了避免這種情況的發生,安全工具需要能夠不斷地分享他們所看到的內容,而不管他們已經被部署到什么地方,以便有效地編排和更新策略。
同樣,基本的威脅需要立即共享和相互關聯,以便檢測當今更復雜的攻擊,尤其是哪些專門設計用以逃避檢測的攻擊。獨立的安全體系架構和試用獨立管理控制臺的設備造成了安全盲區,為了彌補這一盲區,IT團隊通常需要手動關聯數據以檢測威脅,這就是為什么成功的違規行為通常在幾周甚至幾個月內不被發現的原因。
自動化通常攻擊的速度會非常快,在過去幾年中,網絡違規與數據資源攻擊之間的時間已經從半小時縮短到不到10分鐘。僅僅是人工干預已經遠遠不足以應對安全問題,為了縮小檢測和響應之間的差距,組織需要實現自動化。這種自動化需要與機器學習和人工智能結合在一起,以便盡可能檢測到違規行為,從而實現自主決策。
但是自動化僅僅是關閉檢測到的攻擊,有效的自動化是一個多步驟的過程,能夠實現整個分布式網絡中的數據關聯和設備編排。當檢測到異常行為、附件或應用程序時,需要使用signatures和沙箱環境來立即分析這些信息,一旦造成了威脅,被盜用的設備需要立即被隔離并且打上需要補救的標記。安全警報需要到所有的安全設備中去尋找這一新的威脅的其他實例,并從云端到核心網中鎖定這一威脅。安全工具需要開始回溯攻擊,以確定攻擊發生的地點,并關閉違規行為。
為了實現這一點,安全工具需要能夠作為一個集成系統一起工作,以便隨著網絡的發展跨越和適應網絡。多云網絡將會不斷發展,且保護安全網絡勢在必行。只要進行適當的規劃,開發適當的策略,并選擇可見性、關聯性和自動化的工具,組織將能夠充分發揮多云的優勢,而不會由于IT資源或引入新的不必要的風險。
原文鏈接:https://www.sdxcentral.com/articles/contributed/securing-multi-cloud-harder-looks/2017/11/
京公網安備 11010502049343號