外圍邊界仍然存在
雖然安全性已經超越了外圍邊界,這是必要的,但還不足夠。
在多云環境中,企業業務的外圍邊界的概念會發生變化。當工作負載分布在物理數據中心和一個或多個公共云時,外圍邊界必須從內部部署的數據中心擴展到云中。這通常意味著在云網關上部署安全路由(通常作為VPC網關的一部分)。
管理這種轉變的關鍵不僅僅是在云中部署防火墻。如果資源是可替換的,則無論工作負載位于何處,都需要統一應用安全策略。無論應用程序是在AWS云平臺還是Azure云平臺中,甚至是在內部部署的數據中心都無關緊要。這意味著企業希望采用能夠在多云架構中的多種基礎設施中設置安全策略的多云協調平臺。
當然,這種架構一直存在。隨著多云的發展,選項似乎只會增加。從一開始就為多樣化的、多個供應商的環境進行規劃,似乎是一種謹慎的保護措施,可以適應多云的未來發展。
連接孤島
多云的多功能表明,企業最終需要將不同的資源整合在一起。這些基礎設施池之間的連接需要確定,這意味著可以在作為多云連接主干的廣泛的區域內進行可擴展的加密。
當然,不同的業務會有不同的需求。大型數據中心的運行規模與遠程分支機構不同,遠程分支機構的應用程序與云中運行的實例不同。與外圍邊界一樣,這里的關鍵是管理廣域網,使操作統一,盡管存在潛在的多樣性。
在理想情況下,企業將利用能夠管理外圍防火墻和構成這些網關的安全路由器的多云協調平臺。這意味著隨著時間的推移,多云和SD-WAN將會融合。同樣,不能規劃未來將會增加企業基礎設施的投資風險。
分割
雖然外圍安全和加密傳輸很重要,但多云安全的核心是分割和微分割。隔離應用程序、租戶、設備等能力是任何緩解策略的關鍵。
在多云環境下,微分割存在三個挑戰。首先,粒度很重要。在正確的地點采取正確的操作是很重要的。正確的操作相當簡單:阻塞、重定向、日志等等。但只有在目標很重要的地方才這么做。這意味著分段需要在鏈接、端口、虛擬機、容器或云計算實例中強制執行。如果太寬泛,其整治比消除威脅更糟糕。如果太狹窄,威脅依然存在。
第二個挑戰是運營。如果必須跨越云平臺到數據中心等眾多基礎設施來管理策略,那么需要高效運營。同樣,關鍵在于一個通用的編排平臺,它可以連接到不同的底層基礎設施,在整個端到端環境中提供可見性和控制。
必須考慮的第三個挑戰是需要在異構環境中實現整體安全方法。這不僅僅是裸機服務器上的工作負載以及私有云和公共云的容器中的工作負載。事實上,這些多樣化的環境很可能由多云供應商解決方案提供服務,這意味著無論采用何種安全方法,都需要與多云供應商合作視為一個必要條件。
安全永遠不會結束
如果過去幾年教會了人們什么,那就是安全不是一項一勞永逸的任務。即使采取大量措施,仍將出現威脅。能夠在這種多樣化的環境中有效地執行高級威脅檢測至關重要。
同樣,多樣性對設計提出了要求。任何的多云安全方法都是開放的。威脅情報源需要從其所在的任何位置獲取信息。其解決方案需要能夠快速了解??可用信息,然后在部署的任何基礎設施中采取緩解措施。
如果解決方案僅適用于多云架構中的特定域甚至子域,那么采用多云必然采用多個云計算供應商提供的云計算服務,這意味著企業需要以不同的方式進行規劃。
多云架構中的連接性
如果目標是提供深度防御,很明顯企業將需要基礎設施的每一部分協同工作。每個設備都需要發揮各自的作用。它是關于連接安全生態系統中資源的協調。
最終,提供連接安全層的關鍵是運營。企業應該密切關注他們所做出的決策所涉及的運營影響,以確保每個決策使他們向安全和自動化的多云邁進。
京公網安備 11010502049343號