但是,安全性必須成為企業(yè)整體混合云戰(zhàn)略中可見(jiàn)的一部分,否則可能會(huì)在沒(méi)有采取適當(dāng)措施減輕風(fēng)險(xiǎn)的情況下帶來(lái)新風(fēng)險(xiǎn)。
“無(wú)可否認(rèn),混合云基礎(chǔ)設(shè)施是新業(yè)務(wù)面臨現(xiàn)實(shí)的一部分。”Unbound公司研發(fā)副總裁兼聯(lián)合創(chuàng)始人Guy Peer表示,“因此,企業(yè)的IT領(lǐng)導(dǎo)者必須將混合云安全作為優(yōu)先事項(xiàng),如果他們還沒(méi)有實(shí)施的話。”
以下是企業(yè)IT領(lǐng)導(dǎo)者應(yīng)該了解的關(guān)于混合云安全的核心問(wèn)題,并且能夠向組織中的其他人進(jìn)行解釋,將其視為“混合云安全101”。并介紹管理這些問(wèn)題的策略問(wèn)題,以及如何加強(qiáng)企業(yè)的混合云安全態(tài)勢(shì)。
企業(yè)面臨的四個(gè)關(guān)鍵的混合云安全問(wèn)題:
1.周邊安全措施不足
簡(jiǎn)而言之,當(dāng)企業(yè)采用可能包括私有云和公共云環(huán)境以及本地部署或傳統(tǒng)數(shù)據(jù)中心基礎(chǔ)設(shè)施的混合模型時(shí),采用保護(hù)企業(yè)網(wǎng)絡(luò)邊界的傳統(tǒng)工具和策略已不再適用。
“IT領(lǐng)導(dǎo)者需要明白,他們仔細(xì)定義和維護(hù)的網(wǎng)絡(luò)范圍已經(jīng)不夠用了。”Cyxtera公司的副總裁兼首席信息安全官副總裁David Emerson說(shuō),“混合云正在成為企業(yè)基礎(chǔ)設(shè)施的新常態(tài),這些企業(yè)必須適應(yīng),而不是抗拒變革,并堅(jiān)持采用傳統(tǒng)的安全措施。”
隨著混合云架構(gòu)變得越來(lái)越普遍,IT專業(yè)人員將需要重新啟動(dòng)他們的面向外圍安全的方法,因?yàn)槠渫鈬呀?jīng)大大擴(kuò)展和改變。
Unbound公司的Peer說(shuō):“大多數(shù)企業(yè)都會(huì)在不同的公共云或私有云上使用內(nèi)部部署與多種云計(jì)算工作負(fù)載的組合。有了這種類型的環(huán)境,可能保證其周圍邊界安全。”
2.企業(yè)的威脅面現(xiàn)在分布廣泛
傳統(tǒng)的周邊安全性在混合云基礎(chǔ)設(shè)施中無(wú)法滿足的一個(gè)根本原因是:企業(yè)現(xiàn)在在不同的環(huán)境中運(yùn)行工作負(fù)載,跨越傳統(tǒng)的本地基礎(chǔ)設(shè)施、私有云和公共云。鑒于靈活性是混合云的強(qiáng)大吸引力之一,企業(yè)可能還會(huì)根據(jù)不斷變化的業(yè)務(wù)和技術(shù)需求在這些不同環(huán)境之間移動(dòng)數(shù)據(jù)。
Cavirin公司工程副總裁Brajesh Goyal說(shuō):“攻擊面現(xiàn)在分布廣泛,無(wú)限,并且不斷變化。”
這意味著需要采用新的方法和最佳實(shí)踐來(lái)確??绮煌h(huán)境的數(shù)據(jù)安全性。即使企業(yè)采用傳統(tǒng)流程(如安全修補(bǔ)程序和更新)的處理方式也需要重新審視。正如Red Hat公司首席架構(gòu)師Matt Smith最近指出的那樣,對(duì)于希望在混合時(shí)代明智地處理更新的企業(yè)來(lái)說(shuō),自動(dòng)化起著關(guān)鍵作用。
混合架構(gòu)中的每種類型的環(huán)境(甚至每個(gè)潛在的提供者)都有不同的安全考慮和風(fēng)險(xiǎn)。沒(méi)有統(tǒng)一的混合云安全方法,因?yàn)槠髽I(yè)不再使用統(tǒng)一的基礎(chǔ)設(shè)施。
“IT領(lǐng)導(dǎo)者應(yīng)該知道,他們有不同的安全需求,取決于工作負(fù)載是什么,以及它所處的環(huán)境。”Flexential公司首席產(chǎn)品官M(fèi)ichael Fuhrman說(shuō),“而采用一種‘一刀切’的策略對(duì)于妥善保護(hù)企業(yè)的工作量不會(huì)有效。”
這本質(zhì)上是一種成本效益的折衷,將再次伴隨著任何重大的IT變化。
以下是瞻博網(wǎng)絡(luò)公司全球安全戰(zhàn)略總監(jiān)Laurence Pitt列舉的一個(gè)簡(jiǎn)單例子。“混合云所提供的規(guī)模和靈活性意味著用戶可以訪問(wèn)多個(gè)環(huán)境,但這也會(huì)為部門帶來(lái)在IaaS上形成‘影子IT’服務(wù)器的風(fēng)險(xiǎn),而這些服務(wù)器對(duì)于企業(yè)IT來(lái)說(shuō)是不可見(jiàn)或無(wú)法管理的安全策略。”他解釋說(shuō)。
將企業(yè)整體安全策略與混合云策略保持一致時(shí),請(qǐng)將這些考慮放在首位。
3.思考新的工具、流程和政策
簡(jiǎn)而言之,企業(yè)采用混合云模式需要新的安全工具和實(shí)踐,不應(yīng)該拋棄其整個(gè)安全策略,但需要重新修改它。
Goyal說(shuō):“組織需要接受新的工具、策略和思維方式,以實(shí)現(xiàn)內(nèi)部部署和云端的所有基礎(chǔ)設(shè)施投資的健康安全態(tài)勢(shì)。”
例如,在混合部署時(shí)代,各種基礎(chǔ)設(shè)施的統(tǒng)一管理和資源共享成為關(guān)鍵,Red Hat公司技術(shù)傳教士Gordon Haff寫道,“即使某個(gè)組織尚未使用公共云資源,它們可能已經(jīng)在運(yùn)行多種基礎(chǔ)設(shè)施平臺(tái)(如虛擬化)的意義上是混合的,混合云管理可以幫助將這些統(tǒng)一在一個(gè)管理界面下。”他指出,“統(tǒng)一管理還可以為IT部門提供分布在不同地理位置的虛擬化資源的統(tǒng)一視圖,以便進(jìn)行分配、容量規(guī)劃和計(jì)費(fèi)。”
也許企業(yè)已經(jīng)在調(diào)整其安全流程以適應(yīng)DevOps的工作方式,而在開(kāi)發(fā)過(guò)程的早期就開(kāi)始關(guān)注安全:它通常被稱為DevSecOps。
而越來(lái)越多的混合云采用,以及容器和微服務(wù)等相關(guān)趨勢(shì),是人們對(duì)DevSecOps興趣日益增長(zhǎng)的關(guān)鍵原因。
這是DevOps文化的邏輯演進(jìn),因?yàn)镮T領(lǐng)導(dǎo)者意識(shí)到在持續(xù)交付和持續(xù)集成以及日益分布的環(huán)境和體系結(jié)構(gòu)的時(shí)代,需要新的安全方法。
4.謹(jǐn)防提供“轉(zhuǎn)機(jī)”的思維方式
對(duì)于IT資源有限或沒(méi)有太多資源的小型企業(yè)來(lái)說(shuō),盲目信任云計(jì)算提供商可能是一個(gè)值得關(guān)注的問(wèn)題。
另一方面,企業(yè)的首席信息官和其他IT領(lǐng)導(dǎo)者必須避免混淆分布式或共享風(fēng)險(xiǎn)和完全卸載風(fēng)險(xiǎn)的誘惑。
“采用混合云的最大風(fēng)險(xiǎn)是企業(yè)將這視為一個(gè)安全轉(zhuǎn)機(jī),相信云計(jì)算提供商將具有安全標(biāo)準(zhǔn)以確保持續(xù)的保護(hù)和合規(guī)性。”瞻博網(wǎng)絡(luò)的Pitt說(shuō)。
企業(yè)的云計(jì)算提供商提供的服務(wù)減緩一些風(fēng)險(xiǎn),并不意味著企業(yè)實(shí)際上已經(jīng)采取任何措施來(lái)解決這一風(fēng)險(xiǎn)。“這意味著企業(yè)需要努力讓自己的供應(yīng)商對(duì)他們的控制負(fù)責(zé)。”SAS公司的首席信息安全官Brian Wilson說(shuō),“企業(yè)如何知道供應(yīng)商將永遠(yuǎn)無(wú)法訪問(wèn)未加密的數(shù)據(jù)?他們是否可以確認(rèn)在沒(méi)有額外支付或要求企業(yè)通過(guò)云訪問(wèn)安全代理(CASB)的情況下是可行的?企業(yè)要確保合同中詳細(xì)說(shuō)明了這些細(xì)節(jié),并定期審查這些合同和供應(yīng)商政策。”
這可能是混合云安全的一個(gè)比較容易忽視的基礎(chǔ),因此要注意它,并知道如何向組織中的其他人解釋,這會(huì)有很多問(wèn)題,直至應(yīng)用程序級(jí)別。
“必須保持對(duì)數(shù)據(jù)和應(yīng)用程序在不同云計(jì)算環(huán)境中受到保護(hù)的方式進(jìn)行監(jiān)督。”Pitt說(shuō),“即使在混合云和多云環(huán)境中,也仍然會(huì)面臨一些風(fēng)險(xiǎn)。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)