在一些行业文章中,阐述了IT领导者需要了解的四项混合云安全基础知识,以下进行一下回顾:
•传统的周边安全方法是不够的
•组织面临的威胁面是分布式的
•组织需要更新的安全工具和实践
•组织与云计算提供商分担风险
现在来深入探讨如何调整企业的安全策略,并考虑有关解决这四项混合云安全基础知识的专家建议以及相关问题。
1.将正确的工作负载与正确的环境相匹配
混合云基础设施大的吸引力之一是其灵活性和可扩展性。首席信息官们可以更好地控制他们的数据,更快地扩大业务需求,并改进业务,优化成本。
企业的混合云安全策略也应该如此:决定哪个环境适合哪些数据。不要让与不同数据相关的风险成为事后考虑。
“‘云优先'并不意味着云计算是唯一的选择。”SAS公司首席信息安全官Brian Wilson说,“有些业务可以保留在内部部署的数据中心运营。”他指出,其决定因素包括数据类型、数据量和数据访问需求。
“为确保企业的特定安全需求与所选环境中为其提供的安全功能相匹配,请将正确的工作负载与正确的云计算环境相匹配。”Flexential公司首席产品官员Michael Fuhrman说。
这需要企业深入了解供应商的能力,以确保满足企业的特定要求。SAS公司的Wilson例举了SAML(安全断言标记语言)的一个例子,并阐述了他对云计算提供商的要求:
“如果不能与SAML联合,那么我们就不会和客户开展业务。”Wilson说,“客户不希望提供管理凭据,或在个人离开时在多个地方禁用账户。”
2.从外围防御演变为身份管理
由于传统的边界模糊,安全专家建议将焦点从“边界”转移到“身份”。
Cyxtera公司副总裁David Emerson说:“在企业采用混合云时,最有用的安全策略是重新定义包含身份的周围边界,其身份比以往任何时候都更加重要,应该使用多种因素来确保其准确,并精确地用于整个企业中,以及众多基础设施中授予系统访问权限。”
像这样的长期安全原则仍然适用于此,并且在混合环境中具有新的重要性:个人应该只能访问他们完成工作所需的数据、特权和环境。除此之外的任何事情都会带来不必要的风险。
瞻博网络公司全球安全战略总监Laurence Pitt也指出身份和访问管理(IAM)是强大的混合云安全的关键战略之一。
Pitt说,“企业需要了解谁在访问系统和数据,应该建立用户身份访问管理,使用云应用程序安全代理(CASB)控制应用程序访问,以及双因素身份验证。需要随时随地访问,重要的是要迅速警惕异常活动,以减少数据泄露的风险。”
这并不是说企业的传统内部安全工具需要丢弃,与其相反,企业将需要一个新的组合。专家还通常建议将单点登录(SSO)作为企业身份认证的一部分。上述SAML是启用SSO的一种方式。
SAS公司的Wilson解析了混合云和多云环境的好处:“SAML将客户的数据处于控制之中,这取决于他们。”Wilson说,“作为客户,负责通知有权做什么和什么时候被授权的云服务提供商。提供准确的信息需要企业拥有稳固的身份、账户管理和治理策略。“
3.确保可见性和所有权
另一个关键策略:制定工具和策略,确保企业可以全方位地了解混合基础设施。 Radware公司运营商战略和业务发展副总裁Mike O'Malley称,“如果企业的混合云采用引入盲点,那么这些都是漏洞,或者是云中潜在的漏洞”。
“为了确保混合云环境中的安全性,IT领导者需要获得整个网络的完全可见性以及统一的解决方案,可以在不同的环境中实施安全策略。”O'Malley说。
所有资产和环境的所有权至关重要。瞻博网络公司的Pitt说,“每个资产都必须有一个指定的所有者,其职责可以分开。例如,一个团队可以负责服务器平台,另一个团队负责确保操作系统补丁程序的合规性,但如果没有明确的所有权,则可能无法应对这些风险。”
4.考虑必要的技术和文化转变
Cavirin公司工程副总裁Brajesh Goyal指出,自动化是加强安全性技术战略的一个很好的例子。它为帮助确保混合云以及合作伙伴容器的分布式和不断变化的本质提供了巨大潜力。
但混合云安全性可能取决于文化转变与技术变化。如果安全性是流水线和流程中的最后步骤或攻击事件发生后才采取的措施,那么企业应该研究如何促进将安全性纳入业务运营中。就像软件开发流程一样,自动化和云原生安全技术需要做的很好。
对于一些组织来说,这从DevOps开始。Goyal说:“在理想情况下,组织应采用新工具,通过自动化促进云计算最佳实践,并通过持续安全模式促进DevSecOps文化的转变。”
Red Hat公司首席安全架构师Mike Bursell表示,不要低估与DevSecOps相关的文化变革,并将安全性纳入早期工作阶段。他写道,安全人员和其他工作人员之间存在文化鸿沟。 “安全人员知道对于攻击事件应该如何处理是安全的。他们已经接受了培训,他们参加会议,阅读文章,具有丰富的经验,所有这些举措都非常明确:一切都必须安全。安全通常意味着‘关闭',特别是如果安全人员没有充分参与设计、实现和操作过程的话。”
他说,“另一方面,其他人通常只想让事情发挥作用。这两种观点之间存在根本的不同,除非安全是任何项目从开始到结束的高要求。”
5.实施一次彻底的(也许是逾期的)审计
这里有一个普遍的主题,值得一提的是:混合云可以改善企业的安全状况。当然,这不会自动发生。
但是,这是一个良好开端:采用混合云基础设施是彻底改变安全工具和实践的很好借口,无论如何,这些安全工具和实践可能已经过期。而需要将安全视为企业采用混合云策略的一个内置组件。
“迁移到云端对企业来说是一个机会,可以审查安全实践。并实施新的或先进的服务,以改善企业的性能和状态。”Pitt说,“许多企业多年来一直使用相同的工具,并且云采用为未来着眼于审查功能和配置提供了机会。”