重新定义云和云安全

迁移到基于云的计算和服务平台使企业能够快速适应全球向数字经济的过渡。快速启动资源,采用新应用程序以及实时响应最终用户和消费者需求的能力使企业能够在当今的新数字市场中有效竞争。结果令人震惊,在短短几年内,超过80%的企业采用了两个或更多公共云基础设施提供商,近三分之二的企业使用三个或更多。

云和云安全

 

不断增长的云挑战

虽然业务优势非常明显,但这种快速迁移也带来了复杂性和风险,很少有企业能够在网络安全技术差距危险地扩大的情况下做好充分准备,而网络犯罪分子比以往任何时候都更有能力利用漏洞。以下是未经检查的云采用引入的一些挑战:

  • 每天都在采用和使用新的云服务。但是,事实证明,部署云应用程序要比停用它更容易,因此企业发现基于云的应用程序和服务正在堆积,使得它们越来越难以管理和保护。
  • 采用基于云的应用程序和服务非常容易。从字面上看,整个组织中的任何人都可以获得新的云服务。面临的挑战是,服务创建通常不会通过中央IT部门进行,从而导致创建影子IT。因此,组织几乎不知道正在使用哪些服务,存储公司信息的位置,谁可以访问它,或者有哪些安全策略来保护它。
  • 进一步复杂化,这些服务的采用是异构的。员工使用来自不同提供商的不同云服务,这些不同的提供商都提供不同的安全工具,不同的本机安全控制和不同的安全级别。这可能使得在安全策略分发,编排或实施中强加任何形式的一致性变得极其困难。

迁移到云环境时,许多企业可能没有意识到,他们在多大程度上能保护自己的云环境。云提供商可以保护基础架构,例如每个人共享的存储和计算资源,但保护数据,内容和应用程序是云客户的全部责任。这些安全控制需要在已采用的每个云环境中单独构建。如果这些安全解决方案没有在多个环境中完全集成和互操作,那么需要实施的安全工具的数量和种类可能会复杂化,从而迅速压倒可用于管理它们的资源。

部分挑战在于云已经变得如此庞大和如此复杂,以至于这个词本身已经失去了很多意义。即使是多云这个术语也不是更好。因此,要构建有效,一致且可管理的云战略,我们需要首先明确界定我们谈论云时的含义。

定义云选项

云解决方案可以分为三类:部署模型,交付模型和服务提供商。

  • 部署模型:虽然大多数人只考虑私有云或公共云环境,甚至混合模型,但新模型开始出现 – 社区云。

公共:这是第三方云提供商拥有的可公开访问的云环境。在此部署模型中,云提供商负责公共云及其IT资源的创建和持续维护,而消费者则负责虚拟设备,应用程序和数据的实施和安全性。

私有:在私有云模型中,同一组织既是云消费者又是云提供者。私有云使组织能够使用云计算技术集中访问IT资源,通常跨地理分布式企业,并且这样做需要更改组织和信任边界的定义和应用方式。

混合:此云模型使用两种或更多种不同的云部署模型构建。例如,组织可以选择处理的敏感数据是他们的私有云,同时将其他不太敏感的云服务分发到公共云。

社区:社区云为有限数量的个人或组织提供云计算解决方案,这些个人或组织由所有参与组织或第三方托管服务提供商共同管理和保护。AWS GovCloud就是一个很好的例子。

  • 交付模式:从简单地采用特定应用程序或服务到完整的基础架构,企业可以为他们希望实施的服务提供多种选择。

IaaS:基础架构服务提供了一个独立的IT环境,其中包括可以使用基于云的界面访问和管理的基础架构资源。它可以包括硬件,网络设备,连接工具,操作系统和其他“原始”IT资源。这些虚拟化IT资源支持实时扩展和基础架构定制。但是,它们没有预先配置,这使你的IT团队负责其配置,管理和安全性。

PaaS:平台服务交付模型提供了“随时可用”的环境,通常由预先配置的IT资源组成,开发人员可以利用这些资源编写代码。这使IT部门无需设置和维护IT资源的基础架构,但需要权衡的是客户对这些底层IT资源的控制较少。

SaaS:软件服务使应用程序和其他服务可以广泛地供一系列云客户使用。这些服务的主要驱动因素,易于使用,开发任何可定制界面的需求极少,可轻松适应特定的组织和业务需求。SaaS通常与动态可扩展性和无处不在的访问相结合。但是,云消费者通常被授予对SaaS实施的非常有限的管理控制。

  • 服务提供商:还提供各种服务提供商。每个都包括他们自己的本地控制和市场,用于购买技术和服务 – 无论是他们自己还是来自第三方供应商 – 并且不同的环境为客户提供了独特的优势,例如与现有基础架构或业务目标的兼容性。

主要提供商:主要云提供商包括Amazon AWS,Microsoft Azure,Google CloudPlatform,Oracle Cloud,IBM Cloud和阿里云。使用多个提供商的许多组织面临的挑战是在不同环境中建立一致的策略和控制。寻找能够在所有主要云平台上本地运行的安全供应商,在采用和控制方面提供了最大的灵活性。

次要供应商:除主要供应商外,越来越多的小型云商店,地区电信公司甚至合作伙伴(社区云环境)也加入了这个市场。它们通常提供更多的定价灵活性和更个性化的关注。

多云环境引入新风险

最终,所有组织/企业最终都会部署上述云解决方案的某种组合。但是,采用多云环境不仅会扩大攻击面,并且通过一致的可见性和控制来部署,管理和协调安全性的能力变得复杂,但它也会增加其他网络风险,包括:

  • 数据泄露
  • 身份,凭据和访问管理不足
  • 不安全的接口和API
  • 系统漏洞
  • 帐户劫持
  • 增加恶意内部人员的机会
  • 增加高级持续威胁的占用空间
  • 由于网络复杂性呈指数增长,数据丢失和尽职调查不足
  • 网络犯罪分子劫持和滥用云服务。

然而,要解决这些挑战,需要谨慎处理。性能不能因安全性而牺牲。相反,组织/企业需要在无处不在的按需云服务和建立一致的控制,策略和流程之间取得平衡。这需要寻找安全解决方案,帮助你从安全性抑制业务敏捷性的模型转变为可以将安全性与云和自动化相结合的模型,以帮助业务更快,更安全地移动。

组织不仅需要部署能够跨云生态系统一致运行的安全解决方案。他们还需要能够将自动化推送到模板中,以便可以在每个云提供商的环境中同时一致地应用安全性,尤其是在补偿本机控制中的关键差异时。这包括自动化整个数据链,以便在不同云环境内和之间移动工作负载和信息时,安全性可以动态调整。云支持这些功能。

重新思考云的安全性

所有这些都需要一种新的安全方法。传统安全解决方案需要替换为安全工具,这些工具可以在任何环境(无论是物理环境还是云环境)中本机运行并保持一致。在云环境中本地运行的解决方案还需要了解基于云的资源以及利用本机云服务,以便更好地支持云工作负载的规模和动态特性。最终,组织还应努力将安全管理与数据分类完全分离,以便以最自然的方式对任何基础架构上的资源进行分类,同时在定义多云安全策略时始终引用这些对象。

越多安全解决方案本身与基于云的服务集成,企业就越安全。通过利用所有云的威胁源和本机安全功能,并将这些功能集成到多云安全框架中,组织可以将风险乘法效应转化为安全乘法效应。在本机集成和威胁情报集成方面的基础上实现自动化安全操作的能力使组织能够自动协调威胁响应,包括隔离受感染设备,识别和关闭恶意软件,以及在整个多云环境中扩展保护,从而显着降低风险并自信地在最具商业意义的任何地方部署应用程序。

 

来源:文章部分内容来自网络,由智能家居指南网整理发布,侵删!

发表评论