确保企业的混合云环境安全并不简单。SANS公司的分析师对为什么以及如何提高公共云和私有云接口的安全性进行了解释。
对于企业来说,将其数据和软件平台迁移到云端并不是一个非此即彼的主张。一些企业的IT部门正在探索和学习运行内部私有云和第三方公共云服务的组合。随着企业计算需求和成本的变化,创建混合云平台可使工作负载在私有云和公共云之间移动,从而为企业提供更大的灵活性和更多的数据部署选项。
混合云具有自己的优缺点。混合云在为技术员提供便利性和适应性的同时带来了一些成本:安全团队必须保护企业数据,并且在许多情况下,必须保护多个环境中的专有进程。
Voodoo Security公司首席顾问Dave Shackleford和SANS公司分析师决定在SANS白皮书“保护混合云:传统工具vs.新工具和策略”中解决这些问题。
“随着越来越多的组织采用混合云模式,他们需要将其内部安全控制和流程调整为公共云服务提供商环境。”Shackleford写道,“首先,企业应该更新风险评估和分析实践,以不断审查列出的项目。”
以下列出这些项目:
•云计算提供商安全控制、功能和合规状态
•内部开发和编排工具和平台
•运营管理和监控工具
•内部部署和云端的安全工具和控制
这两家公司在白皮书中仍然没有确定企业还是云计算提供商最终负责云中的安全。
Shackleford支持云计算服务提供商和他们的客户共同承担责任。对于客户,Shackleford认为其安全团队必须:
•充分了解当前正在使用的安全控制措施;
•更好地了解他们必须修改哪些安全控制才能在混合云环境中成功运行。
至于原因,Shackleford解释说:“几乎可以保证一些安全控制不会像他们在内部部署执行的方式那样运行,或者不会在云计算服务提供商环境中运行。”
内部过程IT团队应进行检查
Shackleford建议检查以下内部流程。
配置评估:Shackleford说,在涉及安全性时,以下配置尤为重要:
•操作系统版本和修补程序级别
•本地用户和组
•关键文件的权限
•正在运行的强化网络服务
漏洞扫描:Shackleford建议系统应持续扫描,并报告实例中生命周期内发现的任何漏洞。至于扫描和评估任何调查结果,Shackleford指出,混合云环境中通常使用以下方法之一。
•传统漏洞扫描程序的一些供应商已经调整了他们的产品以在云提供商环境中工作,通常依靠API来避免人工请求在计划或临时基础上执行更多入侵式扫描。
•依赖基于主机的代理,可以连续扫描各自的虚拟机。
安全监控:混合云环境几乎总是存在于虚拟化多租户服务器上,这使得他们难以监控每个用户的攻击情况。“监控虚拟基础设施发生在几个地方之一:虚拟机/容器、虚拟交换机、管理程序或物理网络。”Shackleford写道,“在几乎所有的云计算环境中,我们唯一能够真正接触到的地方就是云计算提供商提供的虚拟机/容器或软件定义网络。”
“关于如何构建监控工具的考虑因素包括网络带宽、专用连接以及数据汇总/分析方法。” Shackleford继续说道,“云实例中的服务、应用程序和操作系统生成的日志和事件应自动收集,并发送到中央收集平台。”
Shackleford认为,对于自动化远程日志记录来说,大多数安全团队已经对收集适当的日志,将它们发送到安全的中央日志记录服务或基于云的事件管理平台以及使用SIEM和/或分析工具进行密切监视方面有所了解。
根据Shackleford的说法,需要一些受到监视的限制。他认为以下应该有优先权:
•不寻常的用户登录或登录失败
•大量数据导入或导出云环境
•特权用户活动
•更改已批准的系统映像
•访问和更改加密密钥
•特权和身份配置的更改
•更改日志记录和监视配置
•云计算提供商和第三方威胁情报
孤岛和点解决方案是一个问题
人们喜欢采用一个服务或产品。出于同样的原因,Shackleford强烈建议避免在不同供应商和环境中提供灵活性的单一供应商或云原生选项。
“一些供应商的产品只能在特定的环境下工作,而大多数云供应商的内置服务只能在他们自己的平台上运行。”他解释说,“当业务需求推动组织实施多云战略时,这种孤岛现象可能会导致严重的问题,因此需要重新采用符合要求的安全控制措施。”
Shift-left安全性
Shackleford是一个Shift-left安全的强大支持者,这是一个很难实现的简单概念,但这个想法是将安全考虑移到产品开发阶段。“换句话说,安全性真正与开发和运营实践以及基础设施(有时称为SecDevOps或DevSecOps)相结合,”Shackleford写道,“安全和DevOps团队应该为许多领域定义和发布IT组织标准,其中包括批准使用的应用程序库和操作系统配置。”
最后的警告
除了正常的尽职调查之外,Shackleford建议企业在将数据和/或流程转移到公共云之前完成对所有现有控制和流程的全面审查,从而形成基准。“这将使他们有机会充分保护所涉及的数据,并在公共云环境中寻找同等的安全功能。”Shackleford建议说,“寻找可帮助企业在一个地方管理内部部署资产和云计算资产的工具,因为安全和运营团队通常很分散,无法在一个或多个云提供商环境中管理多个管理和监控工具。”