确保企业的混合云环境安全并不简单。SANS公司的分析师对为什么以及如何提高公共云和私有云接口的安全性进行了解释。

对于企业来说,将其数据和软件平台迁移到云端并不是一个非此即彼的主张。一些企业的IT部门正在探索和学习运行内部私有云和第三方公共云服务的组合。随着企业计算需求和成本的变化,创建混合云平台可使工作负载在私有云和公共云之间移动,从而为企业提供更大的灵活性和更多的数据部署选项。

混合云具有自己的优缺点。混合云在为技术员提供便利性和适应性的同时带来了一些成本:安全团队必须保护企业数据,并且在许多情况下,必须保护多个环境中的专有进程。

Voodoo Security公司首席顾问Dave Shackleford和SANS公司分析师决定在SANS白皮书“保护混合云:传统工具vs.新工具和策略”中解决这些问题。

“随着越来越多的组织采用混合云模式,他们需要将其内部安全控制和流程调整为公共云服务提供商环境。”Shackleford写道,“首先,企业应该更新风险评估和分析实践,以不断审查列出的项目。”

以下列出这些项目:

云计算提供商安全控制、功能和合规状态

•内部开发和编排工具和平台

•运营管理和监控工具

•内部部署和云端的安全工具和控制

这两家公司在白皮书中仍然没有确定企业还是云计算提供商最终负责云中的安全。

Shackleford支持云计算服务提供商和他们的客户共同承担责任。对于客户,Shackleford认为其安全团队必须:

•充分了解当前正在使用的安全控制措施;

•更好地了解他们必须修改哪些安全控制才能在混合云环境中成功运行。

至于原因,Shackleford解释说:“几乎可以保证一些安全控制不会像他们在内部部署执行的方式那样运行,或者不会在云计算服务提供商环境中运行。”

内部过程IT团队应进行检查

Shackleford建议检查以下内部流程。

配置评估:Shackleford说,在涉及安全性时,以下配置尤为重要:

•操作系统版本和修补程序级别

•本地用户和组

•关键文件的权限

•正在运行的强化网络服务

漏洞扫描:Shackleford建议系统应持续扫描,并报告实例中生命周期内发现的任何漏洞。至于扫描和评估任何调查结果,Shackleford指出,混合云环境中通常使用以下方法之一。

•传统漏洞扫描程序的一些供应商已经调整了他们的产品以在云提供商环境中工作,通常依靠API来避免人工请求在计划或临时基础上执行更多入侵式扫描。

•依赖基于主机的代理,可以连续扫描各自的虚拟机。

安全监控:混合云环境几乎总是存在于虚拟化多租户服务器上,这使得他们难以监控每个用户的攻击情况。“监控虚拟基础设施发生在几个地方之一:虚拟机/容器、虚拟交换机、管理程序或物理网络。”Shackleford写道,“在几乎所有的云计算环境中,我们唯一能够真正接触到的地方就是云计算提供商提供的虚拟机/容器或软件定义网络。”

“关于如何构建监控工具的考虑因素包括网络带宽、专用连接以及数据汇总/分析方法。” Shackleford继续说道,“云实例中的服务、应用程序和操作系统生成的日志和事件应自动收集,并发送到中央收集平台。”

Shackleford认为,对于自动化远程日志记录来说,大多数安全团队已经对收集适当的日志,将它们发送到安全的中央日志记录服务或基于云的事件管理平台以及使用SIEM和/或分析工具进行密切监视方面有所了解。

根据Shackleford的说法,需要一些受到监视的限制。他认为以下应该有优先权:

•不寻常的用户登录或登录失败

•大量数据导入或导出云环境

•特权用户活动

•更改已批准的系统映像

•访问和更改加密密钥

•特权和身份配置的更改

•更改日志记录和监视配置

•云计算提供商和第三方威胁情报

孤岛和点解决方案是一个问题

人们喜欢采用一个服务或产品。出于同样的原因,Shackleford强烈建议避免在不同供应商和环境中提供灵活性的单一供应商或云原生选项。

“一些供应商的产品只能在特定的环境下工作,而大多数云供应商的内置服务只能在他们自己的平台上运行。”他解释说,“当业务需求推动组织实施多云战略时,这种孤岛现象可能会导致严重的问题,因此需要重新采用符合要求的安全控制措施。”

Shift-left安全性

Shackleford是一个Shift-left安全的强大支持者,这是一个很难实现的简单概念,但这个想法是将安全考虑移到产品开发阶段。“换句话说,安全性真正与开发和运营实践以及基础设施(有时称为SecDevOps或DevSecOps)相结合,”Shackleford写道,“安全和DevOps团队应该为许多领域定义和发布IT组织标准,其中包括批准使用的应用程序库和操作系统配置。”

最后的警告

除了正常的尽职调查之外,Shackleford建议企业在将数据和/或流程转移到公共云之前完成对所有现有控制和流程的全面审查,从而形成基准。“这将使他们有机会充分保护所涉及的数据,并在公共云环境中寻找同等的安全功能。”Shackleford建议说,“寻找可帮助企业在一个地方管理内部部署资产和云计算资产的工具,因为安全和运营团队通常很分散,无法在一个或多个云提供商环境中管理多个管理和监控工具。”

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 12:13:13
云资讯 京东云发布《私有云&混合云白皮书》 构建客户想要的云平台
伴随着人工智能、大数据、物联网等技术的不断发展,以及5G时代的来临,企业IT系统的云化成为大势所趋。客户多样化、个性化的应用需求对云厂商提出更多要求。 <详情>
2019-07-31 10:31:00
边缘计算 企业必须进入云端吗?可以进入边缘计算
如今物联网的应用越来越广泛,但需要具有企业的视角。这意味着垂直行业应用程序、开发生态系统、产品设计、硬件、部署等。 <详情>
2019-07-31 10:19:00
云资讯 谷歌牵手VMware将虚拟化工作负载引入谷歌云
彭博社报道称,谷歌与VMware正在展开合作,帮助企业更轻松地在Google Cloud Platform上运行VMware vSphere虚拟化软件和网络工具。 <详情>
2019-07-31 09:52:00
云资讯 谷歌与戴尔旗下云计算公司VMware建立新合作 试图追赶竞争对手
据国外媒体报道,当地时间周一,谷歌宣布与戴尔旗下的云计算公司VMware建立新的合作伙伴关系,帮助更多企业迁移到云端,从而试图追赶其竞争对手。 <详情>
2019-07-31 09:10:00
云技术 云计算时代,硬件为什么仍然非常重要?
加利福尼亚大学圣迭戈分校采用了“云优先”的战略,他们淘汰了三台大型机、将尽可能多的计算工作负载转移到云端、尽可能放弃内部部署软件,转而使用软件即服务。 <详情>