云計算的最重要屬性可能是關鍵業務應用程序比其他方法更快、更容易地部署、管理、分發,使員工和客戶能夠實時訪問關鍵信息,無論他們身在何處使用設備訪問。這需要靈活資源的擴展和移動,可以使用簡單直觀的應用程序訪問實時數據,并且能夠快速更新以滿足不斷變化的趨勢。同樣,跨設備和不同云平臺的內部工作流需要高度可用、靈活,并且響應迅速,以支持關鍵功能和完整事務。
安全性是任何云計算環境的重要組成部分,尤其是網絡犯罪分子試圖利用快速擴展的攻擊面時。并且需要像受保護的云計算基礎設施一樣靈活和動態。而且,使用傳統安全解決方案保護云計算環境同樣是不可能的,因為很難使用傳統網絡組件和傳統應用程序開發策略構建云計算環境。
有效的安全性不僅需要保護數據和用戶之間的連接,而且還需要在整個分布式基礎設施中保護每個物理或虛擬設備的每個連接,甚至那些經常在多云安裝之間移動的設備。
在這樣的環境中,使用不同的安全解決方案會產生復雜性,因為部署僅在單個云平臺上可用的安全解決方案可能在其他云平臺上不可用,并且可能具有功能限制。這種部署實際上限制了云計算的真正潛力。很多的組織未能從整體上解決這一安全挑戰,對于挑戰的范圍和規模往往不堪重負。
四個基本的云安全概念
為了應對這些挑戰,組織需要將以下四個安全概念納入其云開發策略:
(1)以安全為主導的云開發
安全漏洞往往是網絡犯罪分子對組織進行網絡攻擊的一個最薄弱環節。對于許多組織而言,云計算的采用已經成倍地擴展了他們的攻擊面。消除這些薄弱環節要求在所有地方始終如一地執行安全性,即使基礎設施處于不斷變化的狀態。
由于基礎設施正在迅速擴展和變化,因此總體安全計劃必須成為任何網絡變更的基本要求。在任何新資源啟動之前,要求使用適當的安全工具、策略、過程,可以使安全性與基礎設施和應用程序更改同步。這需要選擇能夠理解其所在基礎設施的安全工具,并且還可以在所有環境(包括多云)中一致地運行,以實施策略并確保實現從數據中心到云端的安全應用程序和連接的可見性。即使是適應性和執法方面的微小變化也會導致網絡犯罪分子能夠利用的安全漏洞。
(2)云原生安全性
由于數據和工作流需要在企業數據中心基礎設施和云中移動,因此安全性需要始終如一地運行。從保護組織物理資產的同一供應商處選擇云計算防火墻不一定能解決該問題。這些解決方案需要與云服務無縫交互,并訂閱這些服務,并以與識別其他資源相同的邏輯方式識別基于云計算的資源。也就是說,用于保護網絡的基礎技術與用于保護基于云計算的資源的技術截然不同,但管理安全性的實踐需要相似。這就是將內部部署的安全性集成到云計算基礎設施至關重要的原因。
使這個問題更加復雜的是,云計算環境的運行方式也非常不同,而且組織最終可能會使用一組不同的技術,在不同的云環境中使用不同的安全控制。這會給協調和執行安全帶來額外的挑戰。除了云原生集成之外,安全工具還需要能夠動態地轉換策略,以便在不同環境中一致地實施策略。這就要求選擇一家供應商,其解決方案應盡可能本地集成到盡可能多的云平臺中,以確保從數據中心到云端的一致安全性和連接性,無論云計算基礎設施如何。
(3)多種形式因素
一致的安全實施取決于在盡可能多的平臺上以及多種不同形式因素中部署相同的安全解決方案。例如,應用程序應該能夠調用基于云計算的安全解決方案來識別和保護特定的數據和事務。基于容器的應用程序應該可以訪問容器化的安全工具,以便輕松地將安全功能集成到應用程序鏈中。在理想情況下,這些工具的運行方式應與在分布式基礎設施中部署的解決方案完全相同,包括分支機構和邊緣設備。
但是,不要陷入這樣的陷阱:認為網絡防火墻的虛擬版本將足以滿足組織的云計算或容器部署。如前所述,如果組織希望在實施方面保持一致性,并結合解決單個生態系統的獨特挑戰的能力,解決方案的每一個形式要素都需要在其所在的環境中進行本地集成。
(4)集中管理
網絡管理員最大的抱怨之一是他們無法通過單一控制臺查看和管理整個網絡,該控制臺可擴展物理和虛擬網絡的可見性。例如一種管理解決方案可以在網絡的一個區域中查看和關閉攻擊,但不能在另一個區域中查看,可能會導致基礎設施受損。為了消除安全執行方面的差距,組織需要單一控制平臺來獲得可見性,并在整個基礎設施中定義一致的安全策略,以有效地管理風險。安全解決方案需要共享和關聯威脅情報,接收和實施集中協調的策略和配置更改,并協調所有資源以響應檢測到的威脅。
重新考慮安全
將設備放置在網絡網關以監控可預測流量和設備的傳統安全模型已經過時。如今,安全需要跨越分布式基礎設施,在應用程序資源增長時動態擴展,并在基礎設施不斷適應不斷變化的需求時自動調整。同樣重要的是,它還需要確保一致的功能和策略實施,無論其外形或部署位置如何。實現這一目標可能需要組織重新考慮當前的安全基礎設施。
如果云計算將在組織的未來業務發展中發揮重要作用,最好找到一個支持其整體應用程序生命周期和基礎設施路線圖和擴展計劃的供應商,尤其是跨多個提供一致保護和功能的解決方案公共云和私有云,即使這意味著替換組織在本地部署的傳統安全硬件。
通過利用廣泛保護工具集的本機集成功能,這些工具集都可以實現自動化和集中管理,這是實現統一策略實施、協作威脅共享、集中管理和協調以及單一視圖所必需的安全基礎。分布式基礎設施為組織提供了在任何云計算基礎設施上部署任何應用程序的信心。如果沒有一個廣泛的、集成的、自動化的安全框架來擴展和適應整個網絡,那么業務發展將是盲目的,而當今的更具攻擊性的網絡犯罪分子能夠利用這個弱點。