與任何重大的IT變化一樣, 採用混合雲模式需要企業重新審視其安全實踐。 如果實施的好, 混合雲應該有助於企業提高安全性。 多個雲計算環境帶來的靈活性(每種環境都有其自身的優勢和附帶成本)可以使IT領導人能夠將某種類型的敏感性資料或關鍵資料保留在內部部署的資料中心中, 並同時擁有私有雲和公共雲的巨大潛力。
但是, 安全性必須成為企業整體混合雲戰略中可見的一部分, 否則可能會在沒有採取適當措施減輕風險的情況下帶來新風險。
“無可否認, 混合雲基礎設施是新業務面臨現實的一部分。
以下是企業IT領導者應該瞭解的關於混合雲安全的核心問題, 並且能夠向組織中的其他人進行解釋, 將其視為“混合雲安全101”。 並介紹管理這些問題的策略問題, 以及如何加強企業的混合雲安全態勢。
企業面臨的四個關鍵的混合雲安全問題:
1.周邊安全措施不足
簡而言之, 當企業採用可能包括私有雲和公共雲環境以及本地部署或傳統資料中心基礎設施的混合模型時, 採用保護企業網路邊界的傳統工具和策略已不再適用。
“IT領導者需要明白, 他們仔細定義和維護的網路範圍已經不夠用了。
隨著混合雲架構變得越來越普遍, IT專業人員將需要重新開機他們的面向週邊安全的方法, 因為其週邊已經大大擴展和改變。
Unbound公司的Peer說:“大多數企業都會在不同的公共雲或私有雲上使用內部部署與多種雲計算工作負載的組合。 有了這種類型的環境, 可能保證其周圍邊界安全。 ”
2.企業的威脅面現在分佈廣泛
傳統的周邊安全性在混合雲基礎設施中無法滿足的一個根本原因是:企業現在在不同的環境中運行工作負載, 跨越傳統的本地基礎設施、私有雲和公共雲。
Cavirin公司工程副總裁Brajesh Goyal說:“攻擊面現在分佈廣泛, 無限, 並且不斷變化。 ”
這意味著需要採用新的方法和最佳實踐來確保跨不同環境的資料安全性。 即使企業採用傳統流程(如安全修補程式和更新)的處理方式也需要重新審視。 正如Red Hat公司首席架構師Matt Smith最近指出的那樣, 對於希望在混合時代明智地處理更新的企業來說, 自動化起著關鍵作用。
混合架構中的每種類型的環境(甚至每個潛在的提供者)都有不同的安全考慮和風險。 沒有統一的混合雲安全方法, 因為企業不再使用統一的基礎設施。
“IT領導者應該知道, 他們有不同的安全需求, 取決於工作負載是什麼, 以及它所處的環境。 ”Flexential公司首席產品官Michael Fuhrman說, “而採用一種‘一刀切’的策略對於妥善保護企業的工作量不會有效。 ”
這本質上是一種成本效益的折衷, 將再次伴隨著任何重大的IT變化。
以下是瞻博網路公司全球安全戰略總監Laurence Pitt列舉的一個簡單例子。 “混合雲所提供的規模和靈活性意味著使用者可以訪問多個環境, 但這也會為部門帶來在IaaS上形成‘影子IT’伺服器的風險, 而這些伺服器對於企業IT來說是不可見或無法管理的安全性原則。 ”他解釋說。
將企業整體安全性原則與混合雲策略保持一致時, 請將這些考慮放在首位。
3.思考新的工具、流程和政策
簡而言之,
Goyal說:“組織需要接受新的工具、策略和思維方式, 以實現內部部署和雲端的所有基礎設施投資的健康安全態勢。 ”
例如, 在混合部署時代, 各種基礎設施的統一管理和資源分享成為關鍵, Red Hat公司技術傳教士Gordon Haff寫道, “即使某個組織尚未使用公共雲資源, 它們可能已經在運行多種基礎設施平臺(如虛擬化)的意義上是混合的, 混合雲管理可以幫助將這些統一在一個管理介面下。 ”他指出, “統一管理還可以為IT部門提供分佈在不同地理位置的虛擬化資源的統一視圖, 以便進行分配、容量規劃和計費。 ”
也許企業已經在調整其安全流程以適應DevOps的工作方式, 而在開發過程的早期就開始關注安全:它通常被稱為DevSecOps。
而越來越多的混合雲採用,以及容器和微服務等相關趨勢,是人們對DevSecOps興趣日益增長的關鍵原因。
這是DevOps文化的邏輯演進,因為IT領導者意識到在持續交付和持續集成以及日益分佈的環境和體系結構的時代,需要新的安全方法。
4.謹防提供“轉機”的思維方式
對於IT資源有限或沒有太多資源的小型企業來說,盲目信任雲計算提供商可能是一個值得關注的問題。
另一方面,企業的首席資訊官和其他IT領導者必須避免混淆分散式或共用風險和完全卸載風險的誘惑。
“採用混合雲的最大風險是企業將這視為一個安全轉機,相信雲計算提供商將具有安全標準以確保持續的保護和合規性。”瞻博網路的Pitt說。
企業的雲計算提供商提供的服務減緩一些風險,並不意味著企業實際上已經採取任何措施來解決這一風險。“這意味著企業需要努力讓自己的供應商對他們的控制負責。”SAS公司的首席資訊安全官Brian Wilson說,“企業如何知道供應商將永遠無法訪問未加密的資料?他們是否可以確認在沒有額外支付或要求企業通過雲訪問安全代理(CASB)的情況下是可行的?企業要確保合同中詳細說明了這些細節,並定期審查這些合同和供應商政策。”
這可能是混合雲安全的一個比較容易忽視的基礎,因此要注意它,並知道如何向組織中的其他人解釋,這會有很多問題,直至應用程式級別。
“必須保持對資料和應用程式在不同雲計算環境中受到保護的方式進行監督。”Pitt說,“即使在混合雲和多雲環境中,也仍然會面臨一些風險。”
而在開發過程的早期就開始關注安全:它通常被稱為DevSecOps。而越來越多的混合雲採用,以及容器和微服務等相關趨勢,是人們對DevSecOps興趣日益增長的關鍵原因。
這是DevOps文化的邏輯演進,因為IT領導者意識到在持續交付和持續集成以及日益分佈的環境和體系結構的時代,需要新的安全方法。
4.謹防提供“轉機”的思維方式
對於IT資源有限或沒有太多資源的小型企業來說,盲目信任雲計算提供商可能是一個值得關注的問題。
另一方面,企業的首席資訊官和其他IT領導者必須避免混淆分散式或共用風險和完全卸載風險的誘惑。
“採用混合雲的最大風險是企業將這視為一個安全轉機,相信雲計算提供商將具有安全標準以確保持續的保護和合規性。”瞻博網路的Pitt說。
企業的雲計算提供商提供的服務減緩一些風險,並不意味著企業實際上已經採取任何措施來解決這一風險。“這意味著企業需要努力讓自己的供應商對他們的控制負責。”SAS公司的首席資訊安全官Brian Wilson說,“企業如何知道供應商將永遠無法訪問未加密的資料?他們是否可以確認在沒有額外支付或要求企業通過雲訪問安全代理(CASB)的情況下是可行的?企業要確保合同中詳細說明了這些細節,並定期審查這些合同和供應商政策。”
這可能是混合雲安全的一個比較容易忽視的基礎,因此要注意它,並知道如何向組織中的其他人解釋,這會有很多問題,直至應用程式級別。
“必須保持對資料和應用程式在不同雲計算環境中受到保護的方式進行監督。”Pitt說,“即使在混合雲和多雲環境中,也仍然會面臨一些風險。”