如今,云計(jì)算和安全性是IT領(lǐng)域最具發(fā)展勢(shì)頭的兩個(gè)趨勢(shì)。有趣的是,云計(jì)算卻讓安全性處于更艱難的境地。
在安全方面,有一些事情需要考慮。當(dāng)然,IT領(lǐng)域外圍具有足夠安全性的日子早已不復(fù)存在。但是當(dāng)采用云計(jì)算和多云,意味著基礎(chǔ)設(shè)施的外圍有些模糊不清并且可能發(fā)生變化時(shí),企業(yè)如何提供外圍安全性?當(dāng)工作負(fù)載遷移到另一個(gè)場(chǎng)所時(shí),企業(yè)應(yīng)如何協(xié)調(diào)控制和可見性的下降?最后,也許最重要的是,在管理現(xiàn)有安全保護(hù)傘時(shí),云計(jì)算和多云是否代表擴(kuò)大了攻擊面?
是的,安全性具有挑戰(zhàn)性。但是,當(dāng)企業(yè)IT團(tuán)隊(duì)開始采用多云路徑時(shí),應(yīng)該考慮一些事情。
外圍安全性可能還不夠,但仍然很重要
毫無(wú)疑問(wèn),基礎(chǔ)設(shè)施護(hù)城河式的安全方法正在過(guò)時(shí)老化。但是,確實(shí)必須有一些外圍安全措施。在典型的數(shù)據(jù)中心意義上,這就是網(wǎng)絡(luò)團(tuán)隊(duì)以具有下一代功能的防火墻部署網(wǎng)絡(luò)安全的原因。
這個(gè)模型在云計(jì)算中占有一席之地。隨著團(tuán)隊(duì)部署資源池,使用安全網(wǎng)關(guān)對(duì)其進(jìn)行前端處理至關(guān)重要。虛擬私有云(VPC)應(yīng)與許多與物理數(shù)據(jù)中心相同的安全最佳實(shí)踐運(yùn)行。這意味著部署一個(gè)功能強(qiáng)大的安全設(shè)備,盡管是一個(gè)虛擬的安裝設(shè)備。
當(dāng)然,除了提供下一代防火墻功能外,該虛擬設(shè)備還是確保數(shù)據(jù)中心和云平臺(tái)之間的所有流量都是經(jīng)過(guò)加密的關(guān)鍵因素。
微分段在數(shù)據(jù)中心之外占有一席之地
大多數(shù)具有安全意識(shí)的人都熟悉網(wǎng)絡(luò)微分段,這是加強(qiáng)安全性的一種手段。但這種分割不僅僅是數(shù)據(jù)中心的必要條件。
在多云世界中,東西方向流量的定義擴(kuò)展到覆蓋企業(yè)中任何地方的工作負(fù)載之間的任何流量。例如,使用公共云資源臨時(shí)提高應(yīng)用程序容量的微突發(fā),意味著工作負(fù)載可能在私有數(shù)據(jù)中心和一個(gè)或多個(gè)公共云平臺(tái)之間動(dòng)態(tài)地驅(qū)動(dòng)流量。當(dāng)流量離開數(shù)據(jù)中心時(shí),其安全要求不會(huì)下降。這意味著像微分段這樣的工具必須超越數(shù)據(jù)中心,擴(kuò)展到公共云。
事實(shí)上,隨著邊緣計(jì)算繼續(xù)快速普及,企業(yè)發(fā)現(xiàn)工作負(fù)載也將在網(wǎng)絡(luò)邊緣運(yùn)行。例如,物聯(lián)網(wǎng)等運(yùn)動(dòng)在某些情況下會(huì)支持分布式云計(jì)算,這意味著微分段解決方案甚至不會(huì)局限于(私有云和公共云)數(shù)據(jù)中心領(lǐng)域。實(shí)際上,遠(yuǎn)程站點(diǎn)(校園和分支機(jī)構(gòu))也需要融入多層安全組合。
從裸機(jī)服務(wù)器到容器
制定的安全策略也需要更加精細(xì)。僅在數(shù)據(jù)中心邊緣,VPC網(wǎng)關(guān)或機(jī)架交換機(jī)頂部的訪問(wèn)端口等聚合點(diǎn)上強(qiáng)制執(zhí)行是不夠的。隨著工作負(fù)載的多樣化,企業(yè)需要有一種方法可以保護(hù)從裸機(jī)服務(wù)器到虛擬機(jī)的所有內(nèi)容,以及私有環(huán)境和公共環(huán)境中的容器。
這可以最低限度地對(duì)安全架構(gòu)提出額外的要求。但它也迫使企業(yè)范圍內(nèi)的安全能力合理化。在這種情況下,多云環(huán)境的多樣性代表了日益復(fù)雜的分布式安全問(wèn)題。
面臨多樣性的挑戰(zhàn)
安全環(huán)境更復(fù)雜,網(wǎng)絡(luò)犯罪分子比以往任何時(shí)候都更加頑固,但組織正在利用基于獨(dú)立安全工具的安全解決方案,導(dǎo)致供應(yīng)商蔓延和無(wú)效的安全策略。組織現(xiàn)在認(rèn)識(shí)到,集成不同安全技術(shù)的能力是實(shí)現(xiàn)有效安全自動(dòng)化架構(gòu)的主要挑戰(zhàn)。根據(jù)波洛蒙研究所最近進(jìn)行的一項(xiàng)研究,59%的受訪者認(rèn)為他們的組織需要精簡(jiǎn)其供應(yīng)商數(shù)量。
但是當(dāng)運(yùn)營(yíng)負(fù)載超過(guò)企業(yè)能力時(shí)會(huì)發(fā)生什么?而在經(jīng)濟(jì)的蓬勃發(fā)展時(shí)期,這個(gè)問(wèn)題已經(jīng)存在。如果經(jīng)濟(jì)放緩或蕭條,那些沒(méi)有明確運(yùn)營(yíng)效率的企業(yè)將面臨一個(gè)困難的決定:他們是否采取了安全措施或達(dá)到運(yùn)營(yíng)成本的目標(biāo)?
企業(yè)應(yīng)該盡可能地尋找在不同環(huán)境中管理安全的通用方法。對(duì)多云的推動(dòng)帶來(lái)了向多云管理平臺(tái)的轉(zhuǎn)變。這些平臺(tái)代表了指定和最終實(shí)施安全策略的常用方法,使企業(yè)能夠超越特定于云計(jì)算的解決方案。
這具有在多種資源集上統(tǒng)一安全策略的附加優(yōu)點(diǎn)。應(yīng)用程序是駐留在私有數(shù)據(jù)中心還是公共云A或公共云B中無(wú)關(guān)緊要。無(wú)論資源在何處,安全需求都應(yīng)該相同。使用通用的管理方法來(lái)確保這種情況最終將帶來(lái)更強(qiáng)的安全性和操作優(yōu)勢(shì)。
并非一切都從多云開始
可以肯定的是,大多數(shù)企業(yè)將通過(guò)輕量級(jí)移動(dòng)到單個(gè)云平臺(tái)以走上他們的多云路徑。如果在最初的計(jì)劃中,安全性或者固定在云平臺(tái)上,或者考慮到單一的云計(jì)算,那么當(dāng)需要擴(kuò)展時(shí),企業(yè)就會(huì)發(fā)現(xiàn)自己處于困境。但也許最重要的是,企業(yè)需要盡早考慮安全的運(yùn)營(yíng)方面。雖然可以直接部署增量工具和解決方案來(lái)應(yīng)對(duì)新的挑戰(zhàn),但其運(yùn)營(yíng)往往需要像海上船舶一樣謹(jǐn)慎操縱,而提前觀測(cè)隱現(xiàn)的障礙物要比即將撞上需要快速調(diào)整要好得多。