關(guān)于混合云安全，4件事必須知道

與任何重大的IT變化一樣，采用混合云模式需要企業(yè)重新審視其安全實(shí)踐。如果實(shí)施的好，混合云應(yīng)該有助于企業(yè)提高安全性。多個(gè)云計(jì)算環(huán)境帶來(lái)的靈活性(每種環(huán)境都有其自身的優(yōu)勢(shì)和附帶成本)可以使IT領(lǐng)導(dǎo)人能夠?qū)⒛撤N類(lèi)型的敏感數(shù)據(jù)或關(guān)鍵數(shù)據(jù)保留在內(nèi)部部署的數(shù)據(jù)中心中，并同時(shí)擁有私有云和公共云的巨大潛力。

但是，安全性必須成為企業(yè)整體混合云戰(zhàn)略中可見(jiàn)的一部分，否則可能會(huì)在沒(méi)有采取適當(dāng)措施減輕風(fēng)險(xiǎn)的情況下帶來(lái)新風(fēng)險(xiǎn)。

“無(wú)可否認(rèn)，混合云基礎(chǔ)設(shè)施是新業(yè)務(wù)面臨現(xiàn)實(shí)的一部分。”Unbound公司研發(fā)副總裁兼聯(lián)合創(chuàng)始人Guy Peer表示，“因此，企業(yè)的IT領(lǐng)導(dǎo)者必須將混合云安全作為優(yōu)先事項(xiàng)，如果他們還沒(méi)有實(shí)施的話。”

以下是企業(yè)IT領(lǐng)導(dǎo)者應(yīng)該了解的關(guān)于混合云安全的核心問(wèn)題，并且能夠向組織中的其他人進(jìn)行解釋?zhuān)瑢⑵湟暈?ldquo;混合云安全101”。并介紹管理這些問(wèn)題的策略問(wèn)題，以及如何加強(qiáng)企業(yè)的混合云安全態(tài)勢(shì)。

企業(yè)面臨的四個(gè)關(guān)鍵的混合云安全問(wèn)題：

1.周邊安全措施不足

簡(jiǎn)而言之，當(dāng)企業(yè)采用可能包括私有云和公共云環(huán)境以及本地部署或傳統(tǒng)數(shù)據(jù)中心基礎(chǔ)設(shè)施的混合模型時(shí)，采用保護(hù)企業(yè)網(wǎng)絡(luò)邊界的傳統(tǒng)工具和策略已不再適用。

“IT領(lǐng)導(dǎo)者需要明白，他們仔細(xì)定義和維護(hù)的網(wǎng)絡(luò)范圍已經(jīng)不夠用了。”Cyxtera公司的副總裁兼首席信息安全官副總裁David Emerson說(shuō)，“混合云正在成為企業(yè)基礎(chǔ)設(shè)施的新常態(tài)，這些企業(yè)必須適應(yīng)，而不是抗拒變革，并堅(jiān)持采用傳統(tǒng)的安全措施。”

隨著混合云架構(gòu)變得越來(lái)越普遍，IT專(zhuān)業(yè)人員將需要重新啟動(dòng)他們的面向外圍安全的方法，因?yàn)槠渫鈬呀?jīng)大大擴(kuò)展和改變。

Unbound公司的Peer說(shuō)：“大多數(shù)企業(yè)都會(huì)在不同的公共云或私有云上使用內(nèi)部部署與多種云計(jì)算工作負(fù)載的組合。有了這種類(lèi)型的環(huán)境，可能保證其周?chē)吔绨踩?rdquo;

2.企業(yè)的威脅面現(xiàn)在分布廣泛

傳統(tǒng)的周邊安全性在混合云基礎(chǔ)設(shè)施中無(wú)法滿足的一個(gè)根本原因是：企業(yè)現(xiàn)在在不同的環(huán)境中運(yùn)行工作負(fù)載，跨越傳統(tǒng)的本地基礎(chǔ)設(shè)施、私有云和公共云。鑒于靈活性是混合云的強(qiáng)大吸引力之一，企業(yè)可能還會(huì)根據(jù)不斷變化的業(yè)務(wù)和技術(shù)需求在這些不同環(huán)境之間移動(dòng)數(shù)據(jù)。

Cavirin公司工程副總裁Brajesh Goyal說(shuō)：“攻擊面現(xiàn)在分布廣泛，無(wú)限，并且不斷變化。”

這意味著需要采用新的方法和最佳實(shí)踐來(lái)確?？绮煌h(huán)境的數(shù)據(jù)安全性。即使企業(yè)采用傳統(tǒng)流程(如安全修補(bǔ)程序和更新)的處理方式也需要重新審視。正如Red Hat公司首席架構(gòu)師Matt Smith最近指出的那樣，對(duì)于希望在混合時(shí)代明智地處理更新的企業(yè)來(lái)說(shuō)，自動(dòng)化起著關(guān)鍵作用。

混合架構(gòu)中的每種類(lèi)型的環(huán)境(甚至每個(gè)潛在的提供者)都有不同的安全考慮和風(fēng)險(xiǎn)。沒(méi)有統(tǒng)一的混合云安全方法，因?yàn)槠髽I(yè)不再使用統(tǒng)一的基礎(chǔ)設(shè)施。

“IT領(lǐng)導(dǎo)者應(yīng)該知道，他們有不同的安全需求，取決于工作負(fù)載是什么，以及它所處的環(huán)境。”FlexenTIal公司首席產(chǎn)品官M(fèi)ichael Fuhrman說(shuō)，“而采用一種‘一刀切’的策略對(duì)于妥善保護(hù)企業(yè)的工作量不會(huì)有效。”

這本質(zhì)上是一種成本效益的折衷，將再次伴隨著任何重大的IT變化。

以下是瞻博網(wǎng)絡(luò)公司全球安全戰(zhàn)略總監(jiān)Laurence Pitt列舉的一個(gè)簡(jiǎn)單例子。“混合云所提供的規(guī)模和靈活性意味著用戶(hù)可以訪問(wèn)多個(gè)環(huán)境，但這也會(huì)為部門(mén)帶來(lái)在IaaS上形成‘影子IT’服務(wù)器的風(fēng)險(xiǎn)，而這些服務(wù)器對(duì)于企業(yè)IT來(lái)說(shuō)是不可見(jiàn)或無(wú)法管理的安全策略。”他解釋說(shuō)。

將企業(yè)整體安全策略與混合云策略保持一致時(shí)，請(qǐng)將這些考慮放在首位。

3.思考新的工具、流程和政策

簡(jiǎn)而言之，企業(yè)采用混合云模式需要新的安全工具和實(shí)踐，不應(yīng)該拋棄其整個(gè)安全策略，但需要重新修改它。

Goyal說(shuō)：“組織需要接受新的工具、策略和思維方式，以實(shí)現(xiàn)內(nèi)部部署和云端的所有基礎(chǔ)設(shè)施投資的健康安全態(tài)勢(shì)。”

例如，在混合部署時(shí)代，各種基礎(chǔ)設(shè)施的統(tǒng)一管理和資源共享成為關(guān)鍵，Red Hat公司技術(shù)傳教士Gordon Haff寫(xiě)道，“即使某個(gè)組織尚未使用公共云資源，它們可能已經(jīng)在運(yùn)行多種基礎(chǔ)設(shè)施平臺(tái)(如虛擬化)的意義上是混合的，混合云管理可以幫助將這些統(tǒng)一在一個(gè)管理界面下。”他指出，“統(tǒng)一管理還可以為IT部門(mén)提供分布在不同地理位置的虛擬化資源的統(tǒng)一視圖，以便進(jìn)行分配、容量規(guī)劃和計(jì)費(fèi)。”

也許企業(yè)已經(jīng)在調(diào)整其安全流程以適應(yīng)DevOps的工作方式，而在開(kāi)發(fā)過(guò)程的早期就開(kāi)始關(guān)注安全：它通常被稱(chēng)為DevSecOps。

而越來(lái)越多的混合云采用，以及容器和微服務(wù)等相關(guān)趨勢(shì)，是人們對(duì)DevSecOps興趣日益增長(zhǎng)的關(guān)鍵原因。

這是DevOps文化的邏輯演進(jìn)，因?yàn)镮T領(lǐng)導(dǎo)者意識(shí)到在持續(xù)交付和持續(xù)集成以及日益分布的環(huán)境和體系結(jié)構(gòu)的時(shí)代，需要新的安全方法。

4.謹(jǐn)防提供“轉(zhuǎn)機(jī)”的思維方式

對(duì)于IT資源有限或沒(méi)有太多資源的小型企業(yè)來(lái)說(shuō)，盲目信任云計(jì)算提供商可能是一個(gè)值得關(guān)注的問(wèn)題。

另一方面，企業(yè)的首席信息官和其他IT領(lǐng)導(dǎo)者必須避免混淆分布式或共享風(fēng)險(xiǎn)和完全卸載風(fēng)險(xiǎn)的誘惑。

“采用混合云的最大風(fēng)險(xiǎn)是企業(yè)將這視為一個(gè)安全轉(zhuǎn)機(jī)，相信云計(jì)算提供商將具有安全標(biāo)準(zhǔn)以確保持續(xù)的保護(hù)和合規(guī)性。”瞻博網(wǎng)絡(luò)的Pitt說(shuō)。

企業(yè)的云計(jì)算提供商提供的服務(wù)減緩一些風(fēng)險(xiǎn)，并不意味著企業(yè)實(shí)際上已經(jīng)采取任何措施來(lái)解決這一風(fēng)險(xiǎn)。“這意味著企業(yè)需要努力讓自己的供應(yīng)商對(duì)他們的控制負(fù)責(zé)。”SAS公司的首席信息安全官Brian Wilson說(shuō)，“企業(yè)如何知道供應(yīng)商將永遠(yuǎn)無(wú)法訪問(wèn)未加密的數(shù)據(jù)?他們是否可以確認(rèn)在沒(méi)有額外支付或要求企業(yè)通過(guò)云訪問(wèn)安全代理(CASB)的情況下是可行的?企業(yè)要確保合同中詳細(xì)說(shuō)明了這些細(xì)節(jié)，并定期審查這些合同和供應(yīng)商政策。”

這可能是混合云安全的一個(gè)比較容易忽視的基礎(chǔ)，因此要注意它，并知道如何向組織中的其他人解釋?zhuān)@會(huì)有很多問(wèn)題，直至應(yīng)用程序級(jí)別。

“必須保持對(duì)數(shù)據(jù)和應(yīng)用程序在不同云計(jì)算環(huán)境中受到保護(hù)的方式進(jìn)行監(jiān)督。”Pitt說(shuō)，“即使在混合云和多云環(huán)境中，也仍然會(huì)面臨一些風(fēng)險(xiǎn)。”