如何構(gòu)建安全的企業(yè)混合云

MarvinZhang 發(fā)布于2019-04-30 17:31 / 935人閱讀

摘要：幾年前，行業(yè)預(yù)測分析人員表示，一旦企業(yè)決定了他們的云計算戰(zhàn)略，他們將會首先構(gòu)建私有云，并在以后根據(jù)需要添加公共云服務(wù)。如果要在本地實(shí)施容器或作為云計算部署的一部分實(shí)施容器，則需要確保其工作負(fù)載是安全的。

幾年前，行業(yè)預(yù)測分析人員表示，一旦企業(yè)決定了他們的云計算IT戰(zhàn)略，他們將會首先構(gòu)建私有云，并在以后根據(jù)需要添加公共云服務(wù)。但這種事情并沒有發(fā)生。事實(shí)證明，采用云計算可以盡快讓組織的董事會分配資金和預(yù)算。這種趨勢只是加快了采用速度。調(diào)研機(jī)構(gòu)Gartner Research公司預(yù)測，到2020年，90％的組織將采用混合基礎(chǔ)設(shè)施管理功能。

但是，任何顛覆性趨勢都伴隨著其他因素。隨著這種向混合部署的大規(guī)模轉(zhuǎn)變，面向安全威脅的大門將會更加開放。

使用統(tǒng)一安全工具的少數(shù)安全專業(yè)人員

最近對250位混合云安全行業(yè)領(lǐng)導(dǎo)者的一項(xiàng)研究發(fā)現(xiàn)，只有30％的專業(yè)人士使用跨內(nèi)部部署和云端的統(tǒng)一安全工具。由于AWS和Azure公司在企業(yè)用戶的云采用方面處于領(lǐng)先地位，許多其他大型企業(yè)也緊隨其后。

那么IT經(jīng)理如何對他們的環(huán)境做好充分準(zhǔn)備和監(jiān)控，以確保向混合云的遷移盡可能干凈、高效，以便組織可以利用內(nèi)部部署資產(chǎn)和無限的云計算可擴(kuò)展性？

網(wǎng)絡(luò)智能軟件提供商Cavirin公司副總裁David Ginsburg為此撰寫了行業(yè)文章，為人們提供了構(gòu)建安全混合環(huán)境的10個關(guān)鍵標(biāo)準(zhǔn)：

數(shù)據(jù)點(diǎn)1：靈活性

易于實(shí)施，能夠跨越多個工作負(fù)載環(huán)境（如IaaS、PaaS、Office、虛擬機(jī)、容器、以及未來的功能即服務(wù)），提供單一視圖，這對于中型企業(yè)和企業(yè)組織來說是不可或缺的。在理想情況下，如果最初部署在本地，則將相同的工具和應(yīng)用程序擴(kuò)展到云中。這意味著平臺架構(gòu)從一開始就構(gòu)思成為一種混合環(huán)境，其靈活性還包括從云服務(wù)提供商的市場安裝的便利性。

數(shù)據(jù)點(diǎn)2：可擴(kuò)展性

DevOps友好的開放式應(yīng)用程序編程接口（API）為外部數(shù)據(jù)源和項(xiàng)目開放平臺，例如身份和訪問管理、可插拔身份驗(yàn)證模塊（PAM）、安全信息和事件管理、用戶和實(shí)體行為分析、日志記錄、威脅情報，以及幫助控制臺。這種開箱即用的云計算和API互操作性對于適應(yīng)業(yè)務(wù)關(guān)鍵型應(yīng)用程序至關(guān)重要。API還可以集成到組織的持續(xù)集成和部署（CI／CD）流程及其DevOps工具中。這當(dāng)然涉及包含圖像／容器運(yùn)行時和編排的生命周期容器支持。

數(shù)據(jù)點(diǎn)3：響應(yīng)能力

隨著當(dāng)今的安全威脅迅速增加，最小化實(shí)施所需的時間和基線時間，以及快速識別姿勢的任何變化，已變得至關(guān)重要。這需要基于微服務(wù)的彈性擴(kuò)展架構(gòu)和無代理架構(gòu)，能夠很好地適應(yīng)容器和基于功能的工作負(fù)載，并消除影響中央處理單元、內(nèi)存和I／O負(fù)載的過度膨脹。

數(shù)據(jù)點(diǎn)4：深度發(fā)現(xiàn)

必須自動識別現(xiàn)有和新工作負(fù)載以及跨多個云計算服務(wù)提供商對現(xiàn)有工作負(fù)載的更改，然后按功能適當(dāng)?shù)貙@些進(jìn)行分組。這一發(fā)現(xiàn)應(yīng)該是一個簡單的過程，利用現(xiàn)有的AuthN和AuthZ（開放授權(quán)）策略，以避免每次都必須創(chuàng)建特殊的身份訪問管理策略。

數(shù)據(jù)點(diǎn)5：廣義策略庫

該平臺必須支持廣泛的基準(zhǔn)、框架、指南以及基于工作負(fù)載類型創(chuàng)建自定義策略。這些策略應(yīng)自動應(yīng)用于現(xiàn)有工作負(fù)載和新的工作負(fù)載。其覆蓋范圍廣泛，其中還涉及操作系統(tǒng)、虛擬化和云計算服務(wù)提供商。功能可能包括操作系統(tǒng)強(qiáng)化、漏洞和補(bǔ)丁管理、配置管理、白名單和系統(tǒng)監(jiān)控。

數(shù)據(jù)點(diǎn)6：跨基礎(chǔ)設(shè)施的實(shí)時風(fēng)險評分

組織一旦發(fā)現(xiàn)資產(chǎn)并應(yīng)用政策，就必須對資產(chǎn)進(jìn)行評分。這可以是基礎(chǔ)設(shè)施的不同切片（例如位置、子網(wǎng)、部門），跨環(huán)境（云計算和內(nèi)部部署數(shù)據(jù)中心）的工作負(fù)載類型，或應(yīng)用程序（例如PCI和Web）。評分必須優(yōu)先考慮，歷史可用，與第三方自動化工具集成或與現(xiàn)有用戶界面（UI）集成，最重要的是相關(guān)性。例如，組織運(yùn)行具有10個本地Red Hat Enterprise Linux服務(wù)器的Web服務(wù)器農(nóng)場，并開始轉(zhuǎn)換到云端。在遷移過程中，微軟Azure上有五個Web服務(wù)器，內(nèi)部有五個Web服務(wù)器。如果跟蹤支付卡行業(yè)（PCI）合規(guī)性，該工具必須在兩個環(huán)境中生成標(biāo)準(zhǔn)化視圖。

數(shù)據(jù)點(diǎn)7：支持容器（Docker）

容器（Docker）技術(shù)引起了許多企業(yè)采用者的關(guān)注。如果要在本地實(shí)施容器或作為云計算部署的一部分實(shí)施容器，則需要確保其工作負(fù)載是安全的。而且，如果組織從注冊表中引入圖像，則需要確保這些圖像沒有損壞。數(shù)據(jù)點(diǎn)6中描述的許多相同功能也適用于此處，例如硬化、掃描和白名單。查看容器支持的一種方法是在生命周期中，包括圖像掃描、容器運(yùn)行時監(jiān)視、業(yè)務(wù)流程層的安全性。

數(shù)據(jù)點(diǎn)8：云安全態(tài)勢

工作負(fù)載保護(hù)與保護(hù)云計算一樣重要。這包括主要云計算提供商提供的各種服務(wù)，例如存儲、身份、負(fù)載平衡、計算和媒介。該體系結(jié)構(gòu)必須支持實(shí)時監(jiān)視和評估這些服務(wù)，然后，最重要的是，查看這些服務(wù)的安全性如何與關(guān)鍵工作負(fù)載的安全性相關(guān)聯(lián)。它必須關(guān)聯(lián)評分，然后為首席信息安全官和團(tuán)隊(duì)提供統(tǒng)一評分，以反映跨工作負(fù)載和云端的真正混合安全狀態(tài)。

數(shù)據(jù)點(diǎn)9：云計算敏捷定價

反映云計算和存儲定價模型，采用具有靈活性滿足不斷變化需求的定價模型非常重要。這可能涉及軟件即服務(wù)（SaaS）產(chǎn)品或?qū)⑵脚_的后端連接到云計算服務(wù)提供商的計費(fèi)引擎，并具有按分鐘收費(fèi)的能力。或者定價可能是抽象的，但仍然敏捷，更接近承諾和突發(fā)工作負(fù)載的概念。在任何一種情況下，這都與現(xiàn)有的靜態(tài)定價背道而馳。

數(shù)據(jù)點(diǎn)10：預(yù)測分析

預(yù)測分析允許平臺“預(yù)測”變化的結(jié)果。對于配置和操作系統(tǒng)的“假設(shè)”分析在當(dāng)今不斷變化的環(huán)境中至關(guān)重要。它能夠通過API從第三方引入數(shù)據(jù)，以創(chuàng)建更加相關(guān)的視圖。一些客戶將其描述為“虛擬白板”。