云安全訪問代理工具為云用戶提供了一個額外的保護層,但是IT部門必須仔細選擇合適的工具,以避免拖累云性能表現(xiàn)。
安全性仍然是企業(yè)IT部門所面臨的一道難題。一方面要確保應(yīng)用的可用性,一方面還要保護企業(yè)的重要業(yè)務(wù)數(shù)據(jù),這本身就是一個需要雙手彈好鋼琴的難事,更不用說現(xiàn)在有越來越多的企業(yè)開始使用公共云服務(wù)了。
一個能夠解決這一難題的新興工具就是云安全接入代理。通過使用這一類工具,IT團隊可以實施眾多的安全措施。但是,這些工具并不都是一樣的,所以企業(yè)應(yīng)認(rèn)真考慮潛在問題和評估每一個產(chǎn)品,這一點是非常重要的。
以下有四點建議,可以幫助您更高效地選擇和部署云安全接入代理工具。
定義好你的目標(biāo)
企業(yè)工具反反復(fù)復(fù)遇到的問題之一就是企業(yè)缺乏一個針對工具部署的明確目標(biāo)。云安全接入代理工具并不能夠包辦一切,所以使用者首先應(yīng)當(dāng)對“你為什么要部署這個工具”有一個清醒而全面的認(rèn)識。
云安全代理——例如Palerra、Elastica、Skyhigh Networks 以及Netskope等企業(yè)推出的同類工具,通常都會在企業(yè)用戶和云服務(wù)供應(yīng)商(例如亞馬遜網(wǎng)絡(luò)服務(wù),AWS和谷歌云平臺)之間實施一組獨立的安全策略。但有時,其目標(biāo)可能是希望發(fā)現(xiàn)和限制某些影子IT的活動,或者找出某些薄弱或?qū)捤傻陌踩呗浴T谄渌闆r下,云安全接入代理可能更多的是發(fā)揮監(jiān)控和管理的作用,從而讓企業(yè)業(yè)務(wù)部門了解到是如何使用云服務(wù)的——這是云預(yù)算的一個優(yōu)勢。
查看功能集
云安全訪問代理工具提供了一系列的功能。它們可以讓管理人員更深入地了解云服務(wù)的使用情況;使用預(yù)打包模板、定制策略和機器學(xué)習(xí)來監(jiān)控用戶操作和發(fā)現(xiàn)危險活動;為管理人員生成日志文件、發(fā)送警報和創(chuàng)建詳細報告;甚至采取一些補救措施來執(zhí)行既定的安全策略。一個云安全接入代理工具還可以與現(xiàn)有IT平臺(例如Lightweight Directory Access Protocol)、身份與訪問管理工具、票務(wù)與服務(wù)支持系統(tǒng)、單點登錄以及其他安全工具進行集成。
全面審核云安全接入代理工具的功能集,以確保這個工具是否符合你的需求——或者確定需要額外安全投資的功能空白區(qū)。云安全接入代理的角色還是比較新的,所以仔細測試和評估這類工具是至關(guān)重要的。
評估范圍
企業(yè)用戶可以定制云安全訪問代理工具以匹配特定云服務(wù)或平臺。這些特定服務(wù)的工具是可以可靠工作的,但是它只能是針對預(yù)期的服務(wù)。例如,如果企業(yè)開發(fā)了在AWS平臺上運行的云軟件,那么它可能需要為AWS和其他云軟件資源庫(例如GitHub)分別準(zhǔn)備一個工具。另外,如果企業(yè)更換了云平臺,那么它就可能需要另行投資購買另一個云安全接入代理工具了。如有必要,請務(wù)必確保做好購買多個工具的預(yù)算。
本地托管云安全訪問代理工具是需要及時更新的,但在某些情況下,更新有可能是破壞性的。在內(nèi)部部署云安全接入代理工具的企業(yè)將需要把平臺與現(xiàn)有補丁和變更管理工具整合起來。
當(dāng)云安全代理是作為一個第三方服務(wù)時,用戶同樣會遭遇到服務(wù)停用或中斷事件,此類事件發(fā)生的概率與其他任何軟件即服務(wù)產(chǎn)品都是一樣的。供應(yīng)商必須提供一份合適的服務(wù)水平協(xié)議(SLA),以滿足企業(yè)用戶對于安全性和合規(guī)性兩方面的要求。
評估運行模式
企業(yè)用戶可以在多個位置部署云安全訪問代理工具。每個位置都可以提供獨特的優(yōu)勢和功能,所以了解工具能夠在哪些位置實現(xiàn)更高效地運行是非常重要的。
在本地部署云安全訪問代理也是通常的首選模式,這樣做可以讓這個工具監(jiān)控所有的網(wǎng)絡(luò)流量,分別在組、設(shè)備或地理級別實現(xiàn)對身份與訪問控制的管理,以及使用本地加密措施來防止未經(jīng)授權(quán)的訪問請求。但是,工具的本地部署模式會要求IT團隊能夠管理和支持另一個系統(tǒng)。
基于云的安全代理工具是易于使用的,但是建立加密控制可能會影響云應(yīng)用處理數(shù)據(jù)的能力。例如,如果云安全訪問代理工具對財務(wù)數(shù)據(jù)進行了加密處理,一旦財務(wù)云應(yīng)用試圖使用該加密數(shù)據(jù),就可能因為無法對數(shù)據(jù)進行解密而無法處理。與任何其他的云應(yīng)用一樣,這些產(chǎn)品也會遇到相同的可用性問題,所以,如果這個工具變得不可用,那么它所保護的云應(yīng)用可能也會因此變得不可用。
京公網(wǎng)安備 11010502049343號