在Verizon和《哈佛商業(yè)評(píng)論》最新的一項(xiàng)調(diào)查結(jié)果顯示,63%的企業(yè)正在采用混合云的方式提高競(jìng)爭(zhēng)力,但三分之一(32%)的企業(yè)正在努力將云與其他系統(tǒng)集成。
對(duì)于許多企業(yè)來(lái)說(shuō),他們的IT基礎(chǔ)設(shè)施在幾年內(nèi)將繼續(xù)采取由公有云、私有云及傳統(tǒng)部署,遺留應(yīng)用及服務(wù)組合的方式。企業(yè)需要更好地管理現(xiàn)有業(yè)務(wù),并在成本、控制、業(yè)務(wù)敏捷性和安全性之間取得正確的平衡點(diǎn),而不是統(tǒng)統(tǒng)轉(zhuǎn)移到云端。讓人高興的是,混合云模式允許企業(yè)選擇他們認(rèn)為最重要的元素 - 實(shí)現(xiàn)管理效益,保護(hù)私有云的可控性、敏捷性及可擴(kuò)展性,并且控制公有云的成本效益。
對(duì)于云的關(guān)注
凡事都有代價(jià),由于移動(dòng)數(shù)據(jù)超越IT控制的安全問(wèn)題使得許多企業(yè)不能完全接受云計(jì)算:他們希望數(shù)據(jù)保密,免受網(wǎng)絡(luò)威脅,并將云安全地連接到傳統(tǒng)的“內(nèi)部部署”網(wǎng)絡(luò)中,同時(shí)保持與監(jiān)管機(jī)構(gòu)的合規(guī)性。Verizon的調(diào)查結(jié)果顯示,防止企業(yè)深入云端的最大障礙是安全(35%),但這并不奇怪。
面臨的挑戰(zhàn)之一是基于此前的安全解決方案并不是為云環(huán)境的動(dòng)態(tài)和彈性而構(gòu)建的,而且不容易擴(kuò)展到云中。云安全知識(shí)在許多企業(yè)中仍然受到限制,這些企業(yè)的IT領(lǐng)導(dǎo)者采取尋求信任的外部合作伙伴來(lái)彌合安全性和敏捷性之間的差距。例如,Microsoft Azure是一個(gè)統(tǒng)一的多租戶(hù)平臺(tái),使用共享基礎(chǔ)設(shè)施來(lái)支持全球數(shù)百萬(wàn)個(gè)企業(yè),同時(shí)針對(duì)一系列企業(yè)用戶(hù)提供公共和混合云服務(wù)。然而,雖然Azure提供了安全的基礎(chǔ)架構(gòu)和云架構(gòu),但這只是更大的安全領(lǐng)域中的一個(gè)方面。
像所有公共提供商一樣,Microsoft利用共享的責(zé)任模式來(lái)實(shí)現(xiàn)云安全。這種方法定義了保護(hù)云基礎(chǔ)設(shè)施(在云提供商之間)和保護(hù)儲(chǔ)存在云端的數(shù)據(jù)(在客戶(hù)之間)的責(zé)任平衡。因此,企業(yè)將數(shù)據(jù)和工作負(fù)載轉(zhuǎn)移到公有云和混合環(huán)境的做法是保護(hù)其數(shù)據(jù)免受惡意漏洞、惡意軟件和其他復(fù)雜攻擊。
因此,為了在混合云環(huán)境中提供全面、最佳的安全性,企業(yè)需要考慮四個(gè)關(guān)鍵原則:
1. 安全態(tài)勢(shì)可見(jiàn)性
所有的信息安全都要從可見(jiàn)性開(kāi)始。與其他環(huán)境一樣部署混合云的企業(yè)需要全面,實(shí)時(shí)地查看其100%的數(shù)據(jù)和流量。云環(huán)境大大增加了虛擬化數(shù)據(jù)中心內(nèi)的東西向流量。反過(guò)來(lái),這意味著傳統(tǒng)的安全設(shè)備不再提供足夠的可見(jiàn)性,因?yàn)榇罅康牧髁拷^對(duì)不會(huì)跨越網(wǎng)絡(luò)邊緣。因此,混合云的安全解決方案必須能夠在虛擬化環(huán)境中檢測(cè)和執(zhí)行東西向流量的安全策略。
2. 認(rèn)識(shí)攻擊的復(fù)雜性
網(wǎng)絡(luò)犯罪分子的攻擊方式也在不斷發(fā)展,手段越來(lái)越復(fù)雜。在混合云環(huán)境中,它們可以感染虛擬化網(wǎng)絡(luò)中的某一個(gè)系統(tǒng)或事件,除非虛擬網(wǎng)絡(luò)可以正確劃分,否則可以從機(jī)器橫向移動(dòng)到虛擬機(jī)。嚴(yán)重后果是在您沒(méi)有注意的情況下數(shù)據(jù)遭到泄露和盜取。
惡意軟件和零日漏洞也是一個(gè)重大問(wèn)題。攻擊者不斷優(yōu)化現(xiàn)有的惡意軟件,繞過(guò)傳統(tǒng)的基于簽名的防病毒保護(hù),這意味著您需要使用高級(jí)沙箱和威脅防護(hù)技術(shù)才可以檢測(cè)到隱藏在流量?jī)?nèi)的惡意內(nèi)容,并可以阻止橫向移動(dòng)的威脅。
3. 微分割與高級(jí)威脅解決方案的必要性
過(guò)去的原則都與橫向流量大幅增加,虛擬化環(huán)境產(chǎn)生的東西向流量有關(guān),這對(duì)安全解決方案提出了更大的要求,也意味著網(wǎng)絡(luò)犯罪分子擁有更多的隱蔽場(chǎng)所。為了解決這個(gè)問(wèn)題,云環(huán)境需要分割成一個(gè)個(gè)獨(dú)立的小區(qū)間,每個(gè)區(qū)間都有自己流入和流出的安全保護(hù)。資源在邏輯上分組在一起,特定的安全策略應(yīng)用于這些資源集之間的通信。這樣可以防止惡意軟件從一臺(tái)機(jī)器跳轉(zhuǎn)到下一臺(tái)機(jī)器,并能夠?qū)|西方流量進(jìn)行細(xì)分的可視化。微分割是有效實(shí)施云安全的核心要素。
4. 動(dòng)態(tài)安全策略管理的彈性
為滿(mǎn)足混合云環(huán)境的彈性,至關(guān)重要的是任何安全解決方案都具有彈性。手動(dòng)管理安全策略將迅速成為安全瓶頸,自動(dòng)提供新的安全策略和管理現(xiàn)有的安全策略是至關(guān)重要的。自動(dòng)化工作流程和業(yè)務(wù)流程不僅支持云的彈性,而且還可以最大限度地減少配置錯(cuò)誤,從而提高整體安全性。最后,這種自動(dòng)化需要通過(guò)一個(gè)通用的策略和報(bào)告引擎進(jìn)行管理,在基于此前的和混合云環(huán)境中提供單一的可視化和控制。
通過(guò)遵循這四個(gè)關(guān)鍵原則,企業(yè)可以保持面對(duì)威脅永遠(yuǎn)領(lǐng)先一步,因?yàn)樗鼈冊(cè)诓捎没旌显撇呗缘那疤嵯?- 保持一致及強(qiáng)大的安全性。
