如何保护混合云安全:IT专家需要知道的内容

对于企业来说,将其数据和软件平台迁移到云端并不是一个非此即彼的主张。一些企业的IT部门正在探索和学习运行内部私有云和第三方公共云服务的组合。随着企业计算需求和成本的变化,创建混合云平台可使工作负载在私有云和公共云之间移动,从而为企业提供更大的灵活性和更多的数据部署选项。

确保企业的混合云环境安全并不简单。SANS公司的分析师对为什么以及如何提高公共云和私有云接口的安全性进行了解释。

对于企业来说,将其数据和软件平台迁移到云端并不是一个非此即彼的主张。一些企业的IT部门正在探索和学习运行内部私有云和第三方公共云服务的组合。随着企业计算需求和成本的变化,创建混合云平台可使工作负载在私有云和公共云之间移动,从而为企业提供更大的灵活性和更多的数据部署选项。

混合云具有自己的优缺点。混合云在为技术员提供便利性和适应性的同时带来了一些成本:安全团队必须保护企业数据,并且在许多情况下,必须保护多个环境中的专有进程。

Voodoo Security公司首席顾问Dave Shackleford和SANS公司分析师决定在SANS白皮书“保护混合云:传统工具vs.新工具和策略”中解决这些问题。

“随着越来越多的组织采用混合云模式,他们需要将其内部安全控制和流程调整为公共云服务提供商环境。”Shackleford写道,“首先,企业应该更新风险评估和分析实践,以不断审查列出的项目。”

以下列出这些项目:

•云计算提供商安全控制、功能和合规状态

•内部开发和编排工具和平台

•运营管理和监控工具

•内部部署和云端的安全工具和控制

这两家公司在白皮书中仍然没有确定企业还是云计算提供商最终负责云中的安全。

Shackleford支持云计算服务提供商和他们的客户共同承担责任。对于客户,Shackleford认为其安全团队必须:

•充分了解当前正在使用的安全控制措施;

•更好地了解他们必须修改哪些安全控制才能在混合云环境中成功运行。

至于原因,Shackleford解释说:“几乎可以保证一些安全控制不会像他们在内部部署执行的方式那样运行,或者不会在云计算服务提供商环境中运行。”

|| 内部过程IT团队应进行检查

Shackleford建议检查以下内部流程。

配置评估:Shackleford说,在涉及安全性时,以下配置尤为重要:

•操作系统版本和修补程序级别

•本地用户和组

•关键文件的权限

•正在运行的强化网络服务

漏洞扫描:Shackleford建议系统应持续扫描,并报告实例中生命周期内发现的任何漏洞。至于扫描和评估任何调查结果,Shackleford指出,混合云环境中通常使用以下方法之一。

•传统漏洞扫描程序的一些供应商已经调整了他们的产品以在云提供商环境中工作,通常依靠API来避免人工请求在计划或临时基础上执行更多入侵式扫描。

•依赖基于主机的代理,可以连续扫描各自的虚拟机。

安全监控:混合云环境几乎总是存在于虚拟化多租户服务器上,这使得他们难以监控每个用户的攻击情况。“监控虚拟基础设施发生在几个地方之一:虚拟机/容器、虚拟交换机、管理程序或物理网络。”Shackleford写道,“在几乎所有的云计算环境中,我们唯一能够真正接触到的地方就是云计算提供商提供的虚拟机/容器或软件定义网络。”

“关于如何构建监控工具的考虑因素包括网络带宽、专用连接以及数据汇总/分析方法。” Shackleford继续说道,“云实例中的服务、应用程序和操作系统生成的日志和事件应自动收集,并发送到中央收集平台。”

Shackleford认为,对于自动化远程日志记录来说,大多数安全团队已经对收集适当的日志,将它们发送到安全的中央日志记录服务或基于云的事件管理平台以及使用SIEM和/或分析工具进行密切监视方面有所了解。

根据Shackleford的说法,需要一些受到监视的限制。他认为以下应该有优先权:

•不寻常的用户登录或登录失败

•大量数据导入或导出云环境

•特权用户活动

•更改已批准的系统映像

•访问和更改加密密钥

•特权和身份配置的更改

•更改日志记录和监视配置

•云计算提供商和第三方威胁情报

|| 孤岛和点解决方案是一个问题

人们喜欢采用一个服务或产品。出于同样的原因,Shackleford强烈建议避免在不同供应商和环境中提供灵活性的单一供应商或云原生选项。

“一些供应商的产品只能在特定的环境下工作,而大多数云供应商的内置服务只能在他们自己的平台上运行。”他解释说,“当业务需求推动组织实施多云战略时,这种孤岛现象可能会导致严重的问题,因此需要重新采用符合要求的安全控制措施。”

|| Shift-left安全性

Shackleford是一个Shift-left安全的强大支持者,这是一个很难实现的简单概念,但这个想法是将安全考虑移到产品开发阶段。“换句话说,安全性真正与开发和运营实践以及基础设施(有时称为SecDevOps或DevSecOps)相结合,”Shackleford写道,“安全和DevOps团队应该为许多领域定义和发布IT组织标准,其中包括批准使用的应用程序库和操作系统配置。”

|| 最后的警告

除了正常的尽职调查之外,Shackleford建议企业在将数据和/或流程转移到公共云之前完成对所有现有控制和流程的全面审查,从而形成基准。“这将使他们有机会充分保护所涉及的数据,并在公共云环境中寻找同等的安全功能。”Shackleford建议说,“寻找可帮助企业在一个地方管理内部部署资产和云计算资产的工具,因为安全和运营团队通常很分散,无法在一个或多个云提供商环境中管理多个管理和监控工具。”

版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。

(来源:企业网D1Net)

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2018-04-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

API如何开启IT基础设施的未来

企业一直在寻找新的方法来提高效率,降低成本的同时保持其产品和服务的质量。云计算的重要组成部分API被IT部门和服务供应商越来越看好(应用程序编程接口),其使工作...

368130
来自专栏腾讯移动品质中心TMQ的专栏

TMQ在线沙龙第三期回顾

Android自动化测试框架Uiautomator 活动时间:2016年6月30日 QQ群视频交流 活动介绍:TMQ QQ群沙龙第三期分享圆满结束啦~本次分享的...

22360
来自专栏大数据挖掘DT机器学习

大数据架构和模式(三)——理解大数据解决方案的架构层

作者:Divakar Mysore等 来源:DeveloperWorks 摘要:大数据解决方案的逻辑层可以帮助定义和分类各个必要的组件,大数据解决方案需要使用...

38340
来自专栏云计算D1net

为什么DevOps和云计算在一起至关重要

软件的定义特性是软性的。举个例子,将翻盖手机与智能手机进行对比。如果想改变翻盖手机按键的颜色,由于按键是一个实体塑料件,这将需要更改其制造过程。从提出想法到市场...

33870
来自专栏腾讯大讲堂的专栏

王者荣耀、NBA突发支撑

30570
来自专栏腾讯移动品质中心TMQ的专栏

腾讯TMQ在线沙龙|腾讯手机管家iOS测试实战

腾讯手机管家iOS测试实战 活动时间:2016年11月10日 QQ群视频交流 活动介绍:TMQ在线沙龙第十二期分享 本次分享的主题是老司机给大家分享腾讯手机管家...

29650
来自专栏京东技术

【解密】京东B2B业务架构演变

以分销、代销业务为核心的B2B交易平台,通过建立各级商家之间渠道通路的方式,赋能线上线下B用户,并为其提供一站式采购、售卖的解决方案。

13510
来自专栏DevOps时代的专栏

手把手教您构建自己的 DevOps 流水线

持续交付是一组能够帮助软件开发团队极大的提高其软件交付的速度和质量的模式和最佳实践组成。

24510
来自专栏腾讯高校合作

小程序这13大新能力,将对你产生什么影响?

微信公开课“小程序专场”,微信团队带来两项全新能力——“第三方服务”和“附近的小程序”。 至此,小程序近期一共开放了13项新能力。对于用户来讲,会带来哪些影响呢...

34560
来自专栏Forrest随想录

如何打造一个以应用为核心的运维体系

在前面《有了CMDB,为什么还要应用配置管理》一文中,描述了CMDB和应用配置管理的关系,这里面提到了非常核心的一个概念:应用,。但是,上篇中更多的是从运维的角...

16420

扫码关注云+社区

领取腾讯云代金券