如何保護混合云安全：IT專家需要知道的內(nèi)容

作者：Michael Kassner 2018-04-26 14:25:03

云計算

CIOAge

混合云 確保企業(yè)的混合云環(huán)境安全并不簡單。SANS公司的分析師對為什么以及如何提高公共云和私有云接口的安全性進行了解釋。對于企業(yè)來說，將其數(shù)據(jù)和軟件平臺遷移到云端并不是一個非此即彼的主張。

員工經(jīng)過長期磨合與沉淀，具備了協(xié)作精神，得以通過團隊的力量開發(fā)出優(yōu)質(zhì)的產(chǎn)品。創(chuàng)新互聯(lián)建站堅持“專注、創(chuàng)新、易用”的產(chǎn)品理念，因為“專注所以專業(yè)、創(chuàng)新互聯(lián)網(wǎng)站所以易用所以簡單”。公司專注于為企業(yè)提供成都網(wǎng)站設計、做網(wǎng)站、微信公眾號開發(fā)、電商網(wǎng)站開發(fā)，小程序設計，軟件按需求定制設計等一站式互聯(lián)網(wǎng)企業(yè)服務。

確保企業(yè)的混合云環(huán)境安全并不簡單。SANS公司的分析師對為什么以及如何提高公共云和私有云接口的安全性進行了解釋。

對于企業(yè)來說，將其數(shù)據(jù)和軟件平臺遷移到云端并不是一個非此即彼的主張。一些企業(yè)的IT部門正在探索和學習運行內(nèi)部私有云和第三方公共云服務的組合。隨著企業(yè)計算需求和成本的變化，創(chuàng)建混合云平臺可使工作負載在私有云和公共云之間移動，從而為企業(yè)提供更大的靈活性和更多的數(shù)據(jù)部署選項。

混合云具有自己的優(yōu)缺點?；旌显圃跒榧夹g(shù)員提供便利性和適應性的同時帶來了一些成本：安全團隊必須保護企業(yè)數(shù)據(jù)，并且在許多情況下，必須保護多個環(huán)境中的專有進程。

Voodoo Security公司首席顧問Dave Shackleford和SANS公司分析師決定在SANS白皮書“保護混合云：傳統(tǒng)工具vs.新工具和策略”中解決這些問題。

“隨著越來越多的組織采用混合云模式，他們需要將其內(nèi)部安全控制和流程調(diào)整為公共云服務提供商環(huán)境?！盨hackleford寫道，“首先，企業(yè)應該更新風險評估和分析實踐，以不斷審查列出的項目?！?/p>

以下列出這些項目：

• 云計算提供商安全控制、功能和合規(guī)狀態(tài)
• 內(nèi)部開發(fā)和編排工具和平臺
• 運營管理和監(jiān)控工具
• 內(nèi)部部署和云端的安全工具和控制

這兩家公司在白皮書中仍然沒有確定企業(yè)還是云計算提供商最終負責云中的安全。

Shackleford支持云計算服務提供商和他們的客戶共同承擔責任。對于客戶，Shackleford認為其安全團隊必須：

• 充分了解當前正在使用的安全控制措施;
• 更好地了解他們必須修改哪些安全控制才能在混合云環(huán)境中成功運行。

至于原因，Shackleford解釋說：“幾乎可以保證一些安全控制不會像他們在內(nèi)部部署執(zhí)行的方式那樣運行，或者不會在云計算服務提供商環(huán)境中運行?！?/p>

內(nèi)部過程IT團隊應進行檢查

Shackleford建議檢查以下內(nèi)部流程。

配置評估：Shackleford說，在涉及安全性時，以下配置尤為重要：

• 操作系統(tǒng)版本和修補程序級別
• 本地用戶和組
• 關(guān)鍵文件的權(quán)限
• 正在運行的強化網(wǎng)絡服務

漏洞掃描：Shackleford建議系統(tǒng)應持續(xù)掃描，并報告實例中生命周期內(nèi)發(fā)現(xiàn)的任何漏洞。至于掃描和評估任何調(diào)查結(jié)果，Shackleford指出，混合云環(huán)境中通常使用以下方法之一。

• 傳統(tǒng)漏洞掃描程序的一些供應商已經(jīng)調(diào)整了他們的產(chǎn)品以在云提供商環(huán)境中工作，通常依靠API來避免人工請求在計劃或臨時基礎(chǔ)上執(zhí)行更多入侵式掃描。
• 依賴基于主機的代理，可以連續(xù)掃描各自的虛擬機。

安全監(jiān)控：混合云環(huán)境幾乎總是存在于虛擬化多租戶服務器上，這使得他們難以監(jiān)控每個用戶的攻擊情況?！氨O(jiān)控虛擬基礎(chǔ)設施發(fā)生在幾個地方之一：虛擬機/容器、虛擬交換機、管理程序或物理網(wǎng)絡?！盨hackleford寫道，“在幾乎所有的云計算環(huán)境中，我們唯一能夠真正接觸到的地方就是云計算提供商提供的虛擬機/容器或軟件定義網(wǎng)絡?！?/p>

“關(guān)于如何構(gòu)建監(jiān)控工具的考慮因素包括網(wǎng)絡帶寬、專用連接以及數(shù)據(jù)匯總/分析方法?！?Shackleford繼續(xù)說道，“云實例中的服務、應用程序和操作系統(tǒng)生成的日志和事件應自動收集，并發(fā)送到中央收集平臺?！?/p>

Shackleford認為，對于自動化遠程日志記錄來說，大多數(shù)安全團隊已經(jīng)對收集適當?shù)娜罩?，將它們發(fā)送到安全的中央日志記錄服務或基于云的事件管理平臺以及使用SIEM和/或分析工具進行密切監(jiān)視方面有所了解。

根據(jù)Shackleford的說法，需要一些受到監(jiān)視的限制。他認為以下應該有優(yōu)先權(quán)：

• 不尋常的用戶登錄或登錄失敗
• 大量數(shù)據(jù)導入或?qū)С鲈骗h(huán)境
• 特權(quán)用戶活動
• 更改已批準的系統(tǒng)映像
• 訪問和更改加密密鑰
• 特權(quán)和身份配置的更改
• 更改日志記錄和監(jiān)視配置
• 云計算提供商和第三方威脅情報

孤島和點解決方案是一個問題

人們喜歡采用一個服務或產(chǎn)品。出于同樣的原因，Shackleford強烈建議避免在不同供應商和環(huán)境中提供靈活性的單一供應商或云原生選項。

“一些供應商的產(chǎn)品只能在特定的環(huán)境下工作，而大多數(shù)云供應商的內(nèi)置服務只能在他們自己的平臺上運行?！彼忉屨f，“當業(yè)務需求推動組織實施多云戰(zhàn)略時，這種孤島現(xiàn)象可能會導致嚴重的問題，因此需要重新采用符合要求的安全控制措施?！?/p>

Shift-left安全性

Shackleford是一個Shift-left安全的強大支持者，這是一個很難實現(xiàn)的簡單概念，但這個想法是將安全考慮移到產(chǎn)品開發(fā)階段?！皳Q句話說，安全性真正與開發(fā)和運營實踐以及基礎(chǔ)設施(有時稱為SecDevOps或DevSecOps)相結(jié)合，”Shackleford寫道，“安全和DevOps團隊應該為許多領(lǐng)域定義和發(fā)布IT組織標準，其中包括批準使用的應用程序庫和操作系統(tǒng)配置。”

最后的警告

除了正常的盡職調(diào)查之外，Shackleford建議企業(yè)在將數(shù)據(jù)和/或流程轉(zhuǎn)移到公共云之前完成對所有現(xiàn)有控制和流程的全面審查，從而形成基準?！斑@將使他們有機會充分保護所涉及的數(shù)據(jù)，并在公共云環(huán)境中尋找同等的安全功能?！盨hackleford建議說，“尋找可幫助企業(yè)在一個地方管理內(nèi)部部署資產(chǎn)和云計算資產(chǎn)的工具，因為安全和運營團隊通常很分散，無法在一個或多個云提供商環(huán)境中管理多個管理和監(jiān)控工具?！?/p>
當前文章：如何保護混合云安全：IT專家需要知道的內(nèi)容
文章路徑：http://www.dlmjj.cn/article/coehhhh.html