近年來,安全已經滲透到IT行業的各個方面:數據泄漏、物聯網設備、人工智能、容器、開發管道等等。如果有人詢問IT領導者所面臨的挑戰是什么,那么就會得到一個明確的回答:“安全!”
的確,安全很重要。但是安全涵蓋許多具有松散關系的問題。企業需要做出業務和IT決策,正確評估風險,并采取具體措施,這要求人們需要梳理并考慮問題,以便人們能夠更好地理解真正擔心的是什么,人們試圖完成什么業務目標,以及適當的權衡是什么。
云計算行業正在進步,但這是一個難題。以下考慮一下人們如何看待2018年的公共云發展情況。
如今,對于公共云安全的討論已經取得了一些進展。當然,人們仍然可以聽到一些行業人士表明他們不會采用“不安全”的公共云的說法。但只是少數一些人。如果查閱任何一個有關多云或混合云的分析報告,其信息很明確:各種規模的企業正在將其部分工作負載從本地部署的數據中心遷移到公共云。
但他們仍然需要評估工作量。例如,企業需要評估工作負載跨多個平臺進行交互的其他應用程序和數據,以確定它們是應該遷移到公共云,保持原地不動還是遷移到其他本地部署數據中心或托管基礎設施。
他們還有一些考慮因素,了解有關安全和適用的審查適當程度的問題。專家發現企業往往對某些事情過于擔心,而對其他事情沒有足夠的積極性。
當企業擔心太少時
許多IT組織過于相信自己的能力,認為可以通過高度熟練的安全專家來保護安全。他們永遠不需要處理補丁程序,錯誤配置的網絡設備,內部人員工作或任何設計和操作錯誤。而近年來的違規事件至少在一定程度上會讓這些企業更加關注,并變得小心謹慎。
平心而論,這些態度也應該由于公共云模式的新穎性而有所變化。第三方審計師和監管機構也經常對此謹慎考慮。但現在人們普遍認為,公共云基礎設施只要使用得當就可以提供足夠的安全屬性,適用于組織的需求。首先,公共云的本質是他們使用專業人員、自動化流程和紀律來處理安全問題。
當企業擔心太多時
與此同時,有些在公共云上運行工作負載的企業對公共云安全有所懷疑,有時似乎也讓其他人面臨安全問題。某些安全層成為云計算供應商的責任,這種方法被稱為“共享責任”模式。但是,在企業仍然處于安全方面的困境中,要清楚地看清楚這一點至關重要。
可以將這種討論局限于基礎設施即服務,但相同的基本原則適用于任何類型的云服務。即使企業只是使用軟件即服務,適當的身份和授權控制仍然最終取決于其本身。
許多實踐,尤其是操作系統級及以上的實踐,不會(或不應該)在公共云中進行更改。其中一種做法是從已知的可信來源獲得軟件。除了使用經過認證的軟件,無論是在本地部署的數據中心還是在公共云中,在整個生命周期中維護這些軟件同樣重要。實現這一目標的一個有效手段是使用已經建立后端服務的公共云提供商的服務,該服務可以及時提供相關軟件補丁的更新,并在必要時進行安裝。
當添加容器時
容器擴展了這個模型。容器安全性有很多層次。他們首先利用Linux中的多級安全性、Linux命名空間、安全增強型Linux(SELinux)、Cgroups功能、安全計算模式(seccomp)這五項保護容器的安全功能。
與操作系統和應用程序一樣,企業需要知道容器映像最初來自哪里,構建它們的人,以及它們內部是否存在任何惡意(或者完全過時)的代碼。在很多情況下,企業使用內部代碼庫進行最大限度的控制。
容器也應該被視為更廣泛的構建系統和整套DevOps流程的一部分。管理這個構建過程是保護軟件堆棧的關鍵。通過堅持“構建一次,到處部署”的理念,確保構建過程的產品與生產中部署的完全一致。保持容器的不變性也很重要:換句話說,不要修補正在運行的容器,而是重建并重新部署。
總之,不要認為公共云安全是一種獨特和特殊的東西,它除了IT安全和最佳實踐之外還有其他的東西。相反,企業需要了解愿意將哪些責任傳遞給提供商,然后妥善管理內部和外部服務的組合。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號