多云部署让企业对规划进行了大量的思考,特别是在安全性方面。专家Dave Shackleford观察到了多云的挑战。
随着越来越多的企业不断在跨应用、平台和服务中增加云的使用,多云一词越来越受到关注。 但是这个术语也带来了一些疑惑。例如,什么是多云?
对大多数组织来说,只是使用几种不同的云服务进行组合,创建一个混合模型来共享数据、应用组件、连接,或者这三者的组合。对许多人来说,这可能是不同基础设施即服务(IaaS)和平台即服务环境之间的简单混合云,例如使用Docker和Azure。或者是IaaS和几个 集成到内部部署和云应用环境中的软件即服务。
多云部署中的数据分类和联网
在处理多个云提供商时,企业会考虑到一些安全问题。第一个是数据分类,它真正适用于哪种云部署,而不是多云部署。确保你的企业已经有了政策和治理方法,以跟踪你正在使用的云环境中允许运行哪些数据。这在多云架构中变得更加重要,因为不同的云提供商之间暴露或共享数据,也将有不同的安全策略和功能,如果未仔细地映射供应商之间的共享数据,则可能会影响你的合规状态。
第二个重点是网络和应用互连。大多数多云部署严重依赖网络连接,这些网络连接一般是对应用组件使用TLS; 对完全连接的网络子网则使用IPsec。确保携带敏感信息的所有连接都使用了适当的类型和级别的保护进行加密。
多云安全的进一步思考
理想情况下,多云环境的所有认证和授权将利用共享形式的访问管理。这应该适用于最终用户访问,以及管理访问和控制。共享访问和身份管理的完成,一般是通过使用内部的单点登录,同时,也越来越多地通过身份即服务提供商,这些提供商通过联邦标准与多个云提供商集成。
所有用户、组和角色都应该认真地定义访问多云部署的权限,而且这个中央身份和访问平台,无论是内部还是云商,都应该集中审核、控制。
安全事件管理是在多云部署计划占相当大的部分,因为云端日志记录将只涵盖该供应商环境的事件。理想情况下,所有日志应发送回到内部安全信息和事件管理或分析系统,或基于云的事件管理平台上,如Splunk Cloud、Loggly或Sumo Logic。
迁移到多个云提供商环境时,要考虑到正在使用的第三方安全供应商的产品,因为目前不是所有的云安全产品都支持所有的云提供商。 例如,发现某些安全供应商设备在Amazon Web Service(AWS)Marketplace中有,但不在Azure Marketplace中有,反之亦然。如果你对单一供应商进行重大投资,那么当你移动到多云时,这可能会限制新云环境中可用的安全控制。
特别要注意那些提供加密管理,和对系统及应用配置、性能可见的工具,因为这些工具无法被替代,而且成本也常常是双倍的。
使用多云部署的一个真正的安全优势是,可以找到最适合企业运行环境的云提供商的安全控制,并加以利用。例如,Microsoft Azure可能会提供比其他提供商更好的本机Windows系统和应用程序控件,但是Amazon提供了可配置的分布式拒绝服务预防服务(AWS Shield),可以作为更好的前端防线,因为DNS和路由可能在AWS内部就是现成的。为了利用这一优势,在评估云提供商时,安全控制将成为首要考虑因素,不幸的是并不总是这样。
尽管面临着安全挑战,企业还将继续迁移到多云部署中,因为不同的云提供商提供了不同的灵活性和成本节约。随着企业的发展,企业需要牢记多云架构的潜在风险以及保护这种环境的最佳做法。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
相关推荐
-
多云高级管理:要有编排、要有成本优化
随着多云计算使用的越来多,云管理员的目光也从位和字节转移到了编排、自动化和更复杂的成本管理。
-
混合环境:如何管理云资源池
混合云和多云部署中的共同议题是云资源池的划分。在混合或多云模型中,应用可以托管在多个地方,这些地方可能在其部署选项,基础成本以及成本根据使用扩展的方式方面不同。
-
多云战略与管理
一个多云战略可以让用户充分发挥每个云产品的优势来满足每一个业务需求,但是这样一个战略也会引入一定的复杂性。在一个多云模式中,很容易就会陷入失控的状态;用户一个不小心就会错失整个价值主张。但如果有了合适的预防措施,那么一个多云战略将给用户带来许多的红利。
-
为多云安全作好准备
对于众多企业应用来说,公共云是一个理想的运行平台,但是其安全性问题过去、现在甚至将来都会存在。