IT安全團隊如何使其組織能夠利用云計算的靈活性和幾乎無限的規模，同時保持對企業IT和數據的控制?本文探討企業在實施混合云的安全策略時面臨的挑戰，以及Bracket計算(B-CBC)提供的體系結構解決方案。

 

 

 

首先，混合云意味著混合的復雜性。云計算服務提供商產品的異質性為試圖解決和執行同一套安全策略的團隊帶來了巨大的復雜性。代理和虛擬設備可能難以管理，分割規則可能會造成流量堵塞或允許太多的參與者。數據和工作負載可移植性會增加這些風險，如人為錯誤增加的可能性(例如，無意中公開存儲的數據)。

 

對于沒有監管約束和環境的小公司來說，這種復雜性可以減輕。但對于需要一致的密鑰管理(跨云，也可以在單個提供商中的多個區域)或獨立于基礎架構提供商的IT組織來說，這種復雜性難以克服。

 

其次，保護是不完整的。在數據中心，身份訪問，網絡和存儲的安全策略通常與基礎架構相關。使用與IP地址綁定的VLAN，子網和ACL實現網絡策略。保護資產通常依賴于限制對存儲硬件的網絡訪問，而不是保護數據本身。但隨著數據中心變得越來越混雜，企業失去對基礎設施的控制，外圍和網絡防御措施就變得不足夠了。微分段提供額外的保護，但網絡只是企業工作負載的一部分。

 

在沒有物理控制的情況下，IT安全需要找到其他方式來對部署在云上的工作負載進行邏輯控制。

 

第三，確保透明、可證明的控制是一件頭痛的事。采用混合云擴展了審計范圍，因為IT必須管理各種安全態勢。在多個環境中建立可見性和驗證控制是困難的，IT了解數據訪問的方式和位置有限。

 

此外，對于受特定監管關注的公司(例如HIPAA)，供應商提供的加密通常會引起行業的反對。在大多數審計中，對數據的驗證控制是必不可少的，但在混合云上很難保證。

 

最后，在不破壞云的自助服務模式的情況下，保持IT和開發組織之間的職責分離是困難的。IT安全必須提供嚴格的控制隔離，干擾開發人員自助服務采購以保護資源，或者在開發團隊中實現敏捷性，但風險由配置基礎架構資源的團隊關閉。

 

 

Bracket計算提供全面的工作負載隔離軟件，旨在解決這些挑戰，并使企業能夠通過一套先進的IT安全控件在混合云環境中安全地運行工作負載。Bracket提供加密的微分割，其中包括使用客戶控制的密鑰，數據和運行時完整性監控的靜態數據和運動數據的永久加密，以及在違規時捕獲內存的可審計性和取證功能。

 

Bracket計算適用于本地VMware云端，以及Amazon Web Services，Microsoft Azure和谷歌云平臺。Bracket解決方案的執行機制是一個稱為Metavisor的輕量級虛擬化層，不僅提供對網絡，存儲和計算的精細控制，而且可以透明地插入和審核這些保護服務，而不會對開發人員或數據中心運營團隊產生任何影響。

 

 

 

安全策略應在云環境中透明實施。正如用戶在瀏覽器中不知道TLS / SSL一樣，開發人員不應該注意到工作中的安全性。使用虛擬化來強制實施策略可以提供這種優勢，不像可能配置錯誤的代理和虛擬設備，會導致性能損失，被訪問主機的惡意軟件關閉，或創建阻塞點。

 

Bracket開發的輕型虛擬化技術(稱為Metavisor)不是依賴于傳統的傳遞方式，而是透明地提供控件，而無需對客戶機操作系統或應用程序進行任何修改。在客戶操作系統和云管理程序之間運行，Metavisor僅虛擬化I / O，而不是整個工作負載。這樣就可以在應用程序執行過程中脫穎而出。但是當對存儲系統或網絡進行呼叫時，Metavisor攔截這個呼叫，進入安全服務。這允許生產工作負載安全運行，沒有顯著的性能損失。

 

因為Metavisor駐留在與客戶機操作系統不同的內存空間中，它提供了基于網絡的解決方案的透明度和不變性，同時利用與主機的一對一關系。

 

 

Bracket允許企業根據與資源(無論是數據，網絡鏈接還是實例)相關聯的Bracket標簽來編寫微分段和計算策略。標簽已經在AWS和其他云平臺上使用，因此使用Bracket標簽適合現有的云工作流程。

 

如果這些標簽被復制或移動，它們將保留資產。寫在標簽上的策略的一個例子可能是

 

標記為‘dev’的環境只能與標記為‘dev’的其他環境進行通信。

 

這樣寫，策略可以像上述一樣，也可以是非常細微的，用于控制特定端口，數據庫主機或卷。這為IT安全性提供了策略支持，可以在沒有物理控制的情況下對工作負載進行邏輯控制，而不會中斷開發人員的工作流程。

 

 

在靜止和移動中加密數據始終處于開啟狀態。一旦資源被標記，Bracket使用Metavisor來加密地執行與這些標簽相關聯的任何策略。Bracket管理和傳遞策略允許的加密密鑰，并包括解密磁盤或對象，引導實例或與鄰居通話的功能。當請求密鑰時，將檢查策略，并將密鑰釋放給Metavisor，Metavisor將實現相應的策略并允許訪問數據。這樣可以實現自動化，無差錯的策略執行，而不必妨礙開發人員或改變其工作流程，這將帶來更多的好處。

 

在任何環境中，特別是在混合云環境中，它必須處理惡意軟件、惡意內部人員和錯誤的風險。加密強制政策保護企業免受威脅，滿足金融服務、醫療保健和其他大型企業的監管要求。

 

 

IT組織不會異構配置本地環境，例如，在一個數據中心中獨占使用Cisco防火墻，另外兩個數據中心使用Check Point和Palo Alto Networks產品。然而，企業管理多套控制措施來跨混合環境實施安全策略。這產生的并發癥不僅造成人為錯誤和風險增加，而且使審計困難。

 

Bracket的解決方案使得企業控制能夠在開發人員工作的每個地方得到貫徹執行，從而最大限度地降低IT運營開銷，并允許將整個企業系統的可見性，NetFlow和數據訪問日志整合到企業審核流程中。

 

由于企業的靈活性和規?；枨?，混合云的采用將繼續增長。如果沒有能力跨環境執行單一的控制措施，IT安全團隊將不得不面對嚴重的復雜性和合規性問題。

 

通過全面的工作負載隔離解決方案(如Bracket)，安全性可以確?；谠朴嬎愕慕鉀Q方案的可擴展性，基于代理解決方案的基于主機的場景，以及虛擬設備的平面網絡吸引力。它是一種允許企業利用混合云，強化IT控制而不中斷開發人員工作流的體系結構。