確保企業的混合雲環境安全並不簡單。 SANS公司的分析師對為什麼以及如何提高公共雲和私有雲介面的安全性進行了解釋。
對於企業來說, 將其資料和軟體平臺遷移到雲端並不是一個非此即彼的主張。 一些企業的IT部門正在探索和學習運行內部私有雲和協力廠商公共雲服務的組合。 隨著企業計算需求和成本的變化, 創建混合雲平臺可使工作負載在私有雲和公共雲之間移動, 從而為企業提供更大的靈活性和更多的資料部署選項。
混合雲具有自己的優缺點。 混合雲在為技術員提供便利性和適應性的同時帶來了一些成本:安全團隊必須保護企業資料,
Voodoo Security公司首席顧問Dave Shackleford和SANS公司分析師決定在SANS白皮書“保護混合雲:傳統工具vs.新工具和策略”中解決這些問題。
“隨著越來越多的組織採用混合雲模式, 他們需要將其內部安全控制和流程調整為公共雲服務提供者環境。 ”Shackleford寫道, “首先, 企業應該更新風險評估和分析實踐, 以不斷審查列出的專案。 ”
以下列出這些項目:
•雲計算提供商安全控制、功能和合規狀態
•內部開發和編排工具和平臺
•運營管理和監控工具
•內部部署和雲端的安全工具和控制
這兩家公司在白皮書中仍然沒有確定企業還是雲計算提供商最終負責雲中的安全。
Shackleford支援雲計算服務提供者和他們的客戶共同承擔責任。 對於客戶, Shackleford認為其安全團隊必須:
•充分瞭解當前正在使用的安全控制措施;
•更好地瞭解他們必須修改哪些安全控制才能在混合雲環境中成功運行。
至於原因, Shackleford解釋說:“幾乎可以保證一些安全控制不會像他們在內部部署執行的方式那樣運行, 或者不會在雲計算服務提供者環境中運行。 ”
內部過程IT團隊應進行檢查
Shackleford建議檢查以下內部流程。
配置評估:Shackleford說, 在涉及安全性時, 以下配置尤為重要:
•作業系統版本和修補程式級別
•本地使用者和組
•關鍵檔的許可權
•正在運行的強化網路服務
漏洞掃描:Shackleford建議系統應持續掃描, 並報告實例中生命週期內發現的任何漏洞。
•傳統漏洞掃描程式的一些供應商已經調整了他們的產品以在雲提供商環境中工作, 通常依靠API來避免人工請求在計畫或臨時基礎上執行更多入侵式掃描。
•依賴基於主機的代理, 可以連續掃描各自的虛擬機器。
安全監控:混合雲環境幾乎總是存在於虛擬化多租戶伺服器上, 這使得他們難以監控每個使用者的攻擊情況。 “監控虛擬基礎設施發生在幾個地方之一:虛擬機器/容器、虛擬交換機、管理程式或物理網路。 ”Shackleford寫道, “在幾乎所有的雲計算環境中, 我們唯一能夠真正接觸到的地方就是雲計算提供商提供的虛擬機器/容器或軟體定義網路。
“關於如何構建監控工具的考慮因素包括網路頻寬、專用連接以及資料匯總/分析方法。 ” Shackleford繼續說道, “雲實例中的服務、應用程式和作業系統生成的日誌和事件應自動收集, 並發送到中央收集平臺。 ”
Shackleford認為, 對於自動化遠端日誌記錄來說, 大多數安全團隊已經對收集適當的日誌, 將它們發送到安全的中央日誌記錄服務或基於雲的事件管理平臺以及使用SIEM和/或分析工具進行密切監視方面有所瞭解。
根據Shackleford的說法, 需要一些受到監視的限制。 他認為以下應該有優先權:
•不尋常的用戶登錄或登錄失敗
•大量資料導入或匯出雲環境
•特權用戶活動
•更改已批准的系統映射
•訪問和更改加密金鑰
•特權和身份配置的更改
•更改日誌記錄和監視配置
•雲計算提供商和協力廠商威脅情報
孤島和點解決方案是一個問題
人們喜歡採用一個服務或產品。 出於同樣的原因, Shackleford強烈建議避免在不同供應商和環境中提供靈活性的單一供應商或雲原生選項。
“一些供應商的產品只能在特定的環境下工作, 而大多數雲供應商的內置服務只能在他們自己的平臺上運行。 ”他解釋說, “當業務需求推動組織實施多雲戰略時, 這種孤島現象可能會導致嚴重的問題, 因此需要重新採用符合要求的安全控制措施。 ”
Shift-left安全性
Shackleford是一個Shift-left安全的強大支持者, 這是一個很難實現的簡單概念, 但這個想法是將安全考慮移到產品開發階段。 “換句話說, 安全性真正與開發和運營實踐以及基礎設施(有時稱為SecDevOps或DevSecOps)相結合, ”Shackleford寫道,“安全和DevOps團隊應該為許多領域定義和發佈IT組織標準,其中包括批准使用的應用程式庫和作業系統配置。”
最後的警告
除了正常的盡職調查之外,Shackleford建議企業在將資料和/或流程轉移到公共雲之前完成對所有現有控制和流程的全面審查,從而形成基準。“這將使他們有機會充分保護所涉及的資料,並在公共雲環境中尋找同等的安全功能。”Shackleford建議說,“尋找可幫助企業在一個地方管理內部部署資產和雲計算資產的工具,因為安全和運營團隊通常很分散,無法在一個或多個雲提供商環境中管理多個管理和監控工具。”
”Shackleford寫道,“安全和DevOps團隊應該為許多領域定義和發佈IT組織標準,其中包括批准使用的應用程式庫和作業系統配置。”最後的警告
除了正常的盡職調查之外,Shackleford建議企業在將資料和/或流程轉移到公共雲之前完成對所有現有控制和流程的全面審查,從而形成基準。“這將使他們有機會充分保護所涉及的資料,並在公共雲環境中尋找同等的安全功能。”Shackleford建議說,“尋找可幫助企業在一個地方管理內部部署資產和雲計算資產的工具,因為安全和運營團隊通常很分散,無法在一個或多個雲提供商環境中管理多個管理和監控工具。”