云计算在迅猛发展的同时,也积累下了安全水平堪忧的负面口碑。不过随着进一步完善,相信这种新型资源供给模式将很快具备超越传统内部IT体系的良好安全机制。
在谈到IT安全这个议题时,云计算总是给人一种负面口碑典型代表的印象——实际情况可能也的确如此。将工作负载从传统内部体系当中迁移至公有、私有乃至混合云架构当中,往往会导致传统安全工具彻底失效。这不仅引发了新的安全漏洞,同时也造成了诸多前所未见的安全盲点。然而云安全水平正在发展过程中日益提升,而且很快各类云安全工具就将全面超越任何非云类型的安全架构。
综合各个角度来看,云安全正立足于似乎最为薄弱的基础积蓄自己的保护力量。云服务供应商拥有独特的定位,这种角色使其能够吸收到规模庞大的数据集合。由于规模化云体系在地理层面上分布于全球各地,因此管理人员能够从中提取到各类与安全情报相关的重要数据流。而这些情报不仅能够用于追踪安全威胁动向,更能够以更为迅捷的速度对其加以扼制。
当企业最终能够接受云计算这一理念时,它将不再局限于对传统企业网络的延伸,而更多表现为中心焦点所在。最终用户通过不同数据的入口点对云环境进行访问,例如私有WAN或者公共互联网。由于云体系对客户而言属于集中化入口点,这就保证其能够成为理想的安全客户端/服务器通信位置,同时作为加密密钥的惟一管理点。
最后,随着云计算与软件定义技术的有机结合,我们将能够在安全保护角度实现端到端可视化效果。在此之前,还从来没有哪位IT安全管理员能够通过这种方式实现如此水平的软件覆盖能力,而这相当于将网络环境加以平面化、从而确保安全手段能够以更加简洁轻松的方式得到管理。
多年以来,云计算的发展速度一直高于为其提供保护的云安全技术。而从2015年开始直到将来,二者之间的差距似乎正在不断缩小。在今天的文章中,我们将共同分享几款云安全工具及架构,相信它们的出现代表着企业未来将能够轻松愉快地利用将云计算服务纳入主流业务体系,而大家也可以通过新的角度重新认识云安全。
大数据威胁情报
公有云在数据安全汇聚方面处于优势地位。它能够汲取互联网数据,例如网站请求及邮件样本,并通过运行大数据安全情报系统发现全球范围内的各类恶意软件以及网络入侵活动。我们利用云计算精确定位并准确评估安全威胁的速度越快,我们就能越早对自有基础设施加以调整,从而更为主动地应对这些威胁因素。
加密证书与密钥管理
随着数据开始向传统手段无法保护的安全边界移动,加密机制在企业环境当中的地位也在不断提升。对于IT部门来讲,最主要的加密难题就是证书与密钥管理。以Venafi(这家公司最近刚刚从英特尔手中筹得3900万美元融资)为代表的众多安全方案供应商已经能够提供完善的证书与密钥管理系统,从而帮助企业客户对全部云流量进行加密。这一流程除了对密钥及证书过期日期进行追踪之外,也会通过系统级扫描对云环境下的丢失或遗忘密钥、证书进行识别。
自我修复且具备追溯能力的恶意软件保护方案
归功于云环境强大的大数据安全信息汇聚能力,我们现在不仅有机会更有效地在恶意软件侵袭企业之前就将其制服,同时还能在安全事故发生之后更有效地加以恢复。跨越各业务体系及云网络的全部网络相关修改数据都能得到收集与整理。当恶意活动被发现之后,我们能够利用这些信息识别、追溯并恢复任何在此期间受到影响的文件以及恶意软件对系统作出的修改。
“烘”入安全
物联网技术革命已经近在咫尺,云与IT安全供应商则面临着为数十亿台物联网设备提供安全保障这一严峻挑战。由于物联网终端及传感器将直接与云端进行通信,因此我们必须直接“烘”入安全机制以确保物联网设备只能与云端交互——同时在无需人为介入的前提下自动根据最新安全策略实现更新。
端到端可视化
由于云软件定义网络(简称SDN)的持续发展,云安全当中所存在的各类安全盲点将很快成为历史。SDN能够覆盖云网络的所有复杂性因素,并创建出更易于管理的虚拟网络体系。通过这种方式,SDN允许IT管理员查看整套网络,并根据实际情况控制数据流及安全策略。最终,我们将在云环境下享受到更出色的安全实现方式、更快的应急响应能力以及更清晰的企业数据所在位置(及具体访问者)。
DDoS避震装置
尽管分布式拒绝服务(简称DDoS)攻击已经存在了几十年,但其成熟度与产生的影响亦在不断演进。传统的企业架构无法保护自身免受大规模DDoS攻击的侵扰,因为DDoS攻击挤占网络连接的速度要远大于应对措施的处理速度。DDoS保护工作的关键在于抢在其接入企业门户之前就加以阻止。以Akamai及CloudFlare为代表的云服务供应商能够利用自身规模庞大的资源体系吸收这种影响(类似于车辆上的避震装置)。结果就是,DDoS攻击能够在直接触及用户网络边缘之前就得到控制。
总结陈词
以云为关注重点的安全工具在2015年获得了长足进步。随着企业对于网络安全威胁的持续重视,云技术将很有可能成为保护企业免受外部威胁侵扰的重要手段。