混合環境正在成為云的默認用例,可以用“實用混合云”(公共云和私有云基礎設施的混合)這個詞來區分企業IT的混亂現狀與混合云的規范定義。并且有人認為,實用混合云是當前的趨勢。
融合了公司內部網絡和云服務的IT環境一般都比較混亂,難以保證安全。專家稱,公司企業需抽象出一定的方法來保護其IT環境安全,并簡化基礎設施以方便安全措施的部署。很多公司最大的混合云問題就是攤子鋪得太大,鋪得太快,造成安全被甩在身后望塵莫及的狀況。有些公司連試水過程都省了,直接全面鋪開,恨不得一口吃成胖子,結果卻是云項目開展得萬般掙扎。
比如說,管理層直接定調:我們要邁向云;然而,安全策略上的中央管理措施卻根本沒到位。其結果,只會是云項目演變為巨大而丑陋的一團糟。最好是完全新建一個項目,而不是將原有內部應用轉移到云端。雖然很多云安全提供商關注資產盤點,但真的有可能發現公司的所有資產嗎?而且,作為起步工作,遷移原有應用的工程量過于龐大了。最明智的方法,莫過于從能搞定的工作量開始。
大多數公司已經開始擔心數據在云端的安全程度了。但也正是這些公司,依然假定自己內部基礎設施中的數據就不會遭到攻擊者染指。然而,不得不承認,攻擊者總會在某個時候進入原以為安全的內部網絡的。公司企業在安全認知上的最大錯誤,就是以為內部環境是安全的。這一點已經被Equifax、塔吉特等公司證明過了。
當人們認為自己運營在混合環境中時,他們就已經偏離了正確的認知路線。正確的假定應該是:我擁有的所有東西都暴露在互聯網面前,必須在零信任環境中運營。零信任思維應在應用程序上有所反映,所有應用程序都應驗證來自其他App的全部通信。隨著設備的激增,業務數據可存儲的地點數量也呈指數級上漲,從40年前的大型機,到30年前的PC,到最近10年的移動設備和云。
然而,數據還是那些數據,無論數據位于何處,必須保證數據安全,壞人對數據的覬覦之心從未減弱過。很多公司試圖通過網絡控制限制對信息的訪問,以保護數據安全。但在混合環境下,以網絡為中心的模式毫無意義。必須專注于真正關心的東西,也就是數據。數據才是公司最重要的資產,網絡和設備都不是最重要的,你的數據才是。最好的CISO會假定整個環境都已被感染,在這種前提下進行數據防護。
員工在工作中平均使用36個云服務。想要減少公司混合云和內部環境中的復雜性,就應該盡可能地整合這些身份。大多數云提供商,比如AWS和微軟的Azure,都提供整合用戶身份的途徑。身份管理提供商也會給用戶統一的門戶來接入各個企業服務。這些功能都可以讓公司企業規范其訪問控制。聯合身份無疑非常重要。你或許不會想做什么瘋狂的舉動,但一定會想買個聯合身份代理。大多數人都希望能從一個Web門戶登入其環境。
不過,別指望將內部身份與云身份捆綁到一起,除非有什么簡易的措施。內部應用依然保持內部,用一直以來的方式管理就行。除了整合身份和保持一致的數據防護,公司企業還需知曉各種應用連接工作流的方式,也就是擁有對連接的可見性。知道誰在哪些數據上執行什么工作負載,可以提升對整個基礎設施的管理水平,并注意到潛在的安全問題。
這可能是其中最難以把握的一點了,但是公司企業必須獲得對連接的可見性。可以借助日志文件收集與處理自動化,來提升該可見性。不過,即便如此,也是不太可能觀測到企業網絡和云基礎設施上的所有事的。這是與普通意義上的可見性不同。你不可能隨時坐那兒監視你全部的網絡流量。
隨著用戶身份的唯一化,隨著每次云項目迭代帶來的更多可見性,公司應逐漸將重心放到精煉其策略上來。通過在云端和內部架構上應用統一的策略集,IT安全團隊可在較高層級簡化安全視圖。也就是說,你定義策略時不用考慮數據存儲位置,只需將策略映射到特定的服務或存儲媒介。通過Exchange共享的數據和通過Slack共享的數據會有不同的規則,但策略是一致的。
這些策略連同增加的可見性,還給了公司捕獲異常行為的機會。IT安全團隊可以通過設置規則和查找惡意行為來檢測攻擊,在攻擊者造成傷害之前就將其揪出來。想要改善每個云項目每次迭代的安全,公司企業就要有可衡量其所做工作有效性的數據。如何衡量成功非常重要。對云安全來說,可以簡化成使用了多少個云服務和這些云服務有多少是被安全策略覆蓋的。
沒有指標,就談不上混合基礎設施的管理。這與每個駕駛員都需要儀表盤來告訴自己車輛行駛狀況一樣。隨著公司云項目的擴張,可見性的重要性也隨之增加。復雜性問題只會越來越嚴重。因此,公司企業和政府機構最好在復雜性問題不可收拾之前找到應對之策。
京公網安備 11010502049343號