•傳統的周邊安全方法是不夠的
•組織面臨的威脅面是分布式的
•組織需要更新的安全工具和實踐
•組織與云計算提供商分擔風險
現在來深入探討如何調整企業的安全策略,并考慮有關解決這四項混合云安全基礎知識的專家建議以及相關問題。
1.將正確的工作負載與正確的環境相匹配
混合云基礎設施最大的吸引力之一是其靈活性和可擴展性。首席信息官們可以更好地控制他們的數據,更快地擴大業務需求,并改進業務,優化成本。
企業的混合云安全策略也應該如此:決定哪個環境適合哪些數據。不要讓與不同數據相關的風險成為事后考慮。
“‘云優先'并不意味著云計算是唯一的選擇。”SAS公司首席信息安全官Brian Wilson說,“有些業務可以保留在內部部署的數據中心運營。”他指出,其決定因素包括數據類型、數據量和數據訪問需求。
“為確保企業的特定安全需求與所選環境中為其提供的安全功能相匹配,請將正確的工作負載與正確的云計算環境相匹配。”Flexential公司首席產品官員Michael Fuhrman說。
這需要企業深入了解供應商的能力,以確保滿足企業的特定要求。SAS公司的Wilson例舉了SAML(安全斷言標記語言)的一個例子,并闡述了他對云計算提供商的要求:
“如果不能與SAML聯合,那么我們就不會和客戶開展業務。”Wilson說,“客戶不希望提供管理憑據,或在個人離開時在多個地方禁用賬戶。”
2.從外圍防御演變為身份管理
由于傳統的邊界模糊,安全專家建議將焦點從“邊界”轉移到“身份”。
Cyxtera公司副總裁David Emerson說:“在企業采用混合云時,最有用的安全策略是重新定義包含身份的周圍邊界,其身份比以往任何時候都更加重要,應該使用多種因素來確保其準確,并精確地用于整個企業中,以及眾多基礎設施中授予系統訪問權限。”
像這樣的長期安全原則仍然適用于此,并且在混合環境中具有新的重要性:個人應該只能訪問他們完成工作所需的數據、特權和環境。除此之外的任何事情都會帶來不必要的風險。
瞻博網絡公司全球安全戰略總監Laurence Pitt也指出身份和訪問管理(IAM)是強大的混合云安全的關鍵戰略之一。
Pitt說,“企業需要了解誰在訪問系統和數據,應該建立用戶身份訪問管理,使用云應用程序安全代理(CASB)控制應用程序訪問,以及雙因素身份驗證。需要隨時隨地訪問,重要的是要迅速警惕異常活動,以減少數據泄露的風險。”
這并不是說企業的傳統內部安全工具需要丟棄,與其相反,企業將需要一個新的組合。專家還通常建議將單點登錄(SSO)作為企業身份認證的一部分。上述SAML是啟用SSO的一種方式。
SAS公司的Wilson解析了混合云和多云環境的好處:“SAML將客戶的數據處于控制之中,這取決于他們。”Wilson說,“作為客戶,負責通知有權做什么和什么時候被授權的云服務提供商。提供準確的信息需要企業擁有穩固的身份、賬戶管理和治理策略。“
3.確保可見性和所有權
另一個關鍵策略:制定工具和策略,確保企業可以全方位地了解混合基礎設施。 Radware公司運營商戰略和業務發展副總裁Mike O'Malley稱,“如果企業的混合云采用引入盲點,那么這些都是漏洞,或者是云中潛在的漏洞”。
“為了確?;旌显骗h境中的安全性,IT領導者需要獲得整個網絡的完全可見性以及統一的解決方案,可以在不同的環境中實施安全策略。”O'Malley說。
所有資產和環境的所有權至關重要。瞻博網絡公司的Pitt說,“每個資產都必須有一個指定的所有者,其職責可以分開。例如,一個團隊可以負責服務器平臺,另一個團隊負責確保操作系統補丁程序的合規性,但如果沒有明確的所有權,則可能無法應對這些風險。”
4.考慮必要的技術和文化轉變
Cavirin公司工程副總裁Brajesh Goyal指出,自動化是加強安全性技術戰略的一個很好的例子。它為幫助確保混合云以及合作伙伴容器的分布式和不斷變化的本質提供了巨大潛力。
但混合云安全性可能取決于文化轉變與技術變化。如果安全性是流水線和流程中的最后步驟或攻擊事件發生后才采取的措施,那么企業應該研究如何促進將安全性納入業務運營中。就像軟件開發流程一樣,自動化和云原生安全技術需要做的很好。
對于一些組織來說,這從DevOps開始。Goyal說:“在理想情況下,組織應采用新工具,通過自動化促進云計算最佳實踐,并通過持續安全模式促進DevSecOps文化的轉變。”
Red Hat公司首席安全架構師Mike Bursell表示,不要低估與DevSecOps相關的文化變革,并將安全性納入早期工作階段。他寫道,安全人員和其他工作人員之間存在文化鴻溝。 “安全人員知道對于攻擊事件應該如何處理是安全的。他們已經接受了培訓,他們參加會議,閱讀文章,具有豐富的經驗,所有這些舉措都非常明確:一切都必須安全。安全通常意味著‘關閉',特別是如果安全人員沒有充分參與設計、實現和操作過程的話。”
他說,“另一方面,其他人通常只想讓事情發揮作用。這兩種觀點之間存在根本的不同,除非安全是任何項目從開始到結束的最高要求。”
5.實施一次徹底的(也許是逾期的)審計
這里有一個普遍的主題,值得一提的是:混合云可以改善企業的安全狀況。當然,這不會自動發生。
但是,這是一個良好開端:采用混合云基礎設施是徹底改變安全工具和實踐的很好借口,無論如何,這些安全工具和實踐可能已經過期。而需要將安全視為企業采用混合云策略的一個內置組件。
“遷移到云端對企業來說是一個機會,可以審查安全實踐。并實施新的或先進的服務,以改善企業的性能和狀態。”Pitt說,“許多企業多年來一直使用相同的工具,并且云采用為未來著眼于審查功能和配置提供了機會。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號