但是，任何顛覆性趨勢都伴隨著其他因素。隨著這種向混合部署的大規(guī)模轉(zhuǎn)變，面向安全威脅的大門將會更加開放。

 

 

最近對250位混合云安全行業(yè)領(lǐng)導者的一項研究發(fā)現(xiàn)，只有30%的專業(yè)人士使用跨內(nèi)部部署和云端的統(tǒng)一安全工具。由于AWS和Azure公司在企業(yè)用戶的云采用方面處于領(lǐng)先地位，許多其他大型企業(yè)也緊隨其后。

 

那么IT經(jīng)理如何對他們的環(huán)境做好充分準備和監(jiān)控，以確保向混合云的遷移盡可能干凈、高效，以便組織可以利用內(nèi)部部署資產(chǎn)和無限的云計算可擴展性?

 

網(wǎng)絡(luò)智能軟件提供商Cavirin公司副總裁David Ginsburg為此撰寫了行業(yè)文章，為人們提供了構(gòu)建安全混合環(huán)境的10個關(guān)鍵標準：

 

 

易于實施，能夠跨越多個工作負載環(huán)境(如IaaS、PaaS、Office、虛擬機、容器、以及未來的功能即服務(wù))，提供單一視圖，這對于中型企業(yè)和企業(yè)組織來說是不可或缺的。在理想情況下，如果最初部署在本地，則將相同的工具和應(yīng)用程序擴展到云中。這意味著平臺架構(gòu)從一開始就構(gòu)思成為一種混合環(huán)境，其靈活性還包括從云服務(wù)提供商的市場安裝的便利性。

 

 

DevOps友好的開放式應(yīng)用程序編程接口(API)為外部數(shù)據(jù)源和項目開放平臺，例如身份和訪問管理、可插拔身份驗證模塊(PAM)、安全信息和事件管理、用戶和實體行為分析、日志記錄、威脅情報，以及幫助控制臺。這種開箱即用的云計算和API互操作性對于適應(yīng)業(yè)務(wù)關(guān)鍵型應(yīng)用程序至關(guān)重要。API還可以集成到組織的持續(xù)集成和部署(CI/CD)流程及其DevOps工具中。這當然涉及包含圖像/容器運行時和編排的生命周期容器支持。

 

 

隨著當今的安全威脅迅速增加，最小化實施所需的時間和基線時間，以及快速識別姿勢的任何變化，已變得至關(guān)重要。這需要基于微服務(wù)的彈性擴展架構(gòu)和無代理架構(gòu)，能夠很好地適應(yīng)容器和基于功能的工作負載，并消除影響中央處理單元、內(nèi)存和I/O負載的過度膨脹。

 

 

必須自動識別現(xiàn)有和新工作負載以及跨多個云計算服務(wù)提供商對現(xiàn)有工作負載的更改，然后按功能適當?shù)貙@些進行分組。這一發(fā)現(xiàn)應(yīng)該是一個簡單的過程，利用現(xiàn)有的AuthN和AuthZ(開放授權(quán))策略，以避免每次都必須創(chuàng)建特殊的身份訪問管理策略。

 

 

該平臺必須支持廣泛的基準、框架、指南以及基于工作負載類型創(chuàng)建自定義策略。這些策略應(yīng)自動應(yīng)用于現(xiàn)有工作負載和新的工作負載。其覆蓋范圍廣泛，其中還涉及操作系統(tǒng)、虛擬化和云計算服務(wù)提供商。功能可能包括操作系統(tǒng)強化、漏洞和補丁管理、配置管理、白名單和系統(tǒng)監(jiān)控。

 

 

組織一旦發(fā)現(xiàn)資產(chǎn)并應(yīng)用政策，就必須對資產(chǎn)進行評分。這可以是基礎(chǔ)設(shè)施的不同切片(例如位置、子網(wǎng)、部門)，跨環(huán)境(云計算和內(nèi)部部署數(shù)據(jù)中心)的工作負載類型，或應(yīng)用程序(例如PCI和Web)。評分必須優(yōu)先考慮，歷史可用，與第三方自動化工具集成或與現(xiàn)有用戶界面(UI)集成，最重要的是相關(guān)性。例如，組織運行具有10個本地Red Hat Enterprise Linux服務(wù)器的Web服務(wù)器農(nóng)場，并開始轉(zhuǎn)換到云端。在遷移過程中，微軟Azure上有五個Web服務(wù)器，內(nèi)部有五個Web服務(wù)器。如果跟蹤支付卡行業(yè)(PCI)合規(guī)性，該工具必須在兩個環(huán)境中生成標準化視圖。

 

 

容器(Docker)技術(shù)引起了許多企業(yè)采用者的關(guān)注。如果要在本地實施容器或作為云計算部署的一部分實施容器，則需要確保其工作負載是安全的。而且，如果組織從注冊表中引入圖像，則需要確保這些圖像沒有損壞。數(shù)據(jù)點6中描述的許多相同功能也適用于此處，例如硬化、掃描和白名單。查看容器支持的一種方法是在生命周期中，包括圖像掃描、容器運行時監(jiān)視、業(yè)務(wù)流程層的安全性。

 

 

工作負載保護與保護云計算一樣重要。這包括主要云計算提供商提供的各種服務(wù)，例如存儲、身份、負載平衡、計算和媒介。該體系結(jié)構(gòu)必須支持實時監(jiān)視和評估這些服務(wù)，然后，最重要的是，查看這些服務(wù)的安全性如何與關(guān)鍵工作負載的安全性相關(guān)聯(lián)。它必須關(guān)聯(lián)評分，然后為首席信息安全官和團隊提供統(tǒng)一評分，以反映跨工作負載和云端的真正混合安全狀態(tài)。

 

 

反映云計算和存儲定價模型，采用具有靈活性滿足不斷變化需求的定價模型非常重要。這可能涉及軟件即服務(wù)(SaaS)產(chǎn)品或?qū)⑵脚_的后端連接到云計算服務(wù)提供商的計費引擎，并具有按分鐘收費的能力。或者定價可能是抽象的，但仍然敏捷，更接近承諾和突發(fā)工作負載的概念。在任何一種情況下，這都與現(xiàn)有的靜態(tài)定價背道而馳。

 

 

預測分析允許平臺“預測”變化的結(jié)果。對于配置和操作系統(tǒng)的“假設(shè)”分析在當今不斷變化的環(huán)境中至關(guān)重要。它能夠通過API從第三方引入數(shù)據(jù)，以創(chuàng)建更加相關(guān)的視圖。一些客戶將其描述為“虛擬白板”。