隨著CIO們采用了混合云策略，其中一些人快速地認(rèn)識到這些平臺環(huán)境需要一些新型的安全模型，或者至少在現(xiàn)有環(huán)境中應(yīng)用現(xiàn)有的控制措施和安全技術(shù)。大多數(shù)企業(yè)還發(fā)現(xiàn)，他們的環(huán)境并不是簡單的純粹私有云加公有云。原有的內(nèi)部部署系統(tǒng)，軟件即服務(wù)(SaaS)應(yīng)用以及基礎(chǔ)設(shè)施即服務(wù)(IaaS)都將在其中發(fā)揮作用。

用于保護(hù)公有云和私有云資源的安全工具可能仍然包括諸如防火墻、訪問控制和日志管理這樣基于邊界的控制措施，但是傳統(tǒng)IT安全措施的作用也就僅限于此了。 “完成工作的方法各不相同，從某種意義上說，西班牙與法國是不同的，”總部位于賓夕法尼亞州Blue Bell的一家全球IT服務(wù)廠商Unisys公司的首席信息安全官Dave Frymier說。“安全團(tuán)隊(duì)將不得不學(xué)習(xí)新的語言，但是他們將做的風(fēng)險(xiǎn)分析工作卻是與他們目前在企業(yè)內(nèi)部中做的是一樣的。”

諸如Unisys和ING(后者是一家總部位于阿姆斯特丹的全球性金融機(jī)構(gòu))這樣的企業(yè)正在使用混合云作為整合數(shù)據(jù)中心的一種方法。這樣做是有道理的：你不必提供前期資金來購置、安裝、運(yùn)行你的服務(wù)器，你可以按需租用相關(guān)資源，并根據(jù)運(yùn)營預(yù)算進(jìn)行費(fèi)用支付。

與進(jìn)行實(shí)際的投資不同，你可以充分利用IaaS廠商的服務(wù)和專業(yè)知識，并只在實(shí)際需要時(shí)租用設(shè)備。“IaaS在主要云廠商的努力下已經(jīng)獲得了長足的進(jìn)步和發(fā)展，它已不同于五年前最初的面向客戶的云了，”Frymier說。“我們現(xiàn)在擁有一個(gè)完全虛擬的基礎(chǔ)設(shè)施，可以將其用于安全環(huán)境的開發(fā)，而企業(yè)級服務(wù)所帶來的成本節(jié)省要高于之前的客戶版本。”

當(dāng)執(zhí)行整合任務(wù)時(shí)，可以集成相關(guān)的安全措施，這使得云具有了與傳統(tǒng)數(shù)據(jù)中心相同的安全級別。銀行業(yè)界已經(jīng)建立了他們自己的體系架構(gòu)和網(wǎng)絡(luò)標(biāo)準(zhǔn)，較早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就擔(dān)任了銀行業(yè)架構(gòu)網(wǎng)絡(luò)董事會的主席。其主要工作包括了在相應(yīng)安全等級的前期進(jìn)行開發(fā)的實(shí)施指南。

[[151071]]

Richard Seroter

最好的策略包括：使用云-本地或云-第一的安全工具，而不是強(qiáng)迫無法轉(zhuǎn)化的傳統(tǒng)技術(shù)(例如防火墻或入侵防御設(shè)備)來負(fù)責(zé)內(nèi)部部署環(huán)境和基于云的環(huán)境。

無論你是遷移內(nèi)部資產(chǎn)，還是使用外部云服務(wù)，或者是集成私有云公有云和內(nèi)部部署服務(wù)器，這里有五個(gè)通用的策略，這是很多CIO們用于緩解安全性問題的良方：

1. 逐步提高用戶的受培訓(xùn)程度和加強(qiáng)與他們的溝通。如鴕鳥般把頭埋在沙子里并不是一個(gè)真正的好策略。“你總是需要站出來解決問題的，”世紀(jì)互聯(lián)技術(shù)解決方案公司產(chǎn)品副總裁Richard Seroter說。該公司在2013年收購了Web hosterSavvis，并向全球數(shù)據(jù)中心提供自助云服務(wù)或托管服務(wù)。

“只要用戶有一張信用卡，那么他就可以基于云在任何地方部署應(yīng)用，”他說。“與之前在項(xiàng)目結(jié)尾時(shí)出臺各種限制條件不同，我們應(yīng)學(xué)習(xí)如何在項(xiàng)目前期就與運(yùn)營和用戶展開協(xié)作。”Seroter說，這種方法還有其他的一些好處：“安全性將成為我們向每一位客戶做簡報(bào)內(nèi)容的一部分，”他指出。“我們不會等待用戶向我們咨詢安全性方面的問題，而是應(yīng)盡量采用積極的方法，讓我們的客戶了解應(yīng)與我們共同承擔(dān)的責(zé)任——我們試圖通過盡可能坦率的對話來討論他們?nèi)绾伟踩卦L問他們的數(shù)據(jù)。”

你還必須注意潛在的法規(guī)和法律后果，并對你的員工開展培訓(xùn)。“我們云遷移戰(zhàn)略的一個(gè)關(guān)鍵部分就是與我們的法務(wù)部門協(xié)作來定義出一個(gè)新的信息安全框架，并于 2014年年初推出，”國際紅十字會和紅新月會的全球CIO Ed Happ說。在2013年，該組織擴(kuò)大了其與微軟公司簽訂的協(xié)議，使得它在187個(gè)國家中的80個(gè)組織使用云服務(wù)，其中就包括了Microsoft Office 365。其目的就是為了騰出資源和節(jié)省開支，并通過為全球眾多小型國家組織提供相同的訪問工具而解決了數(shù)字鴻溝問題。

[[151072]]

Ed Happ

紅十字會在實(shí)際應(yīng)用中發(fā)現(xiàn)，該組織所擁有的九成半以上信息都是公開或內(nèi)部的，這些信息并不需要采用超出商用應(yīng)用所提供安全等級的安全措施。對于剩下的半成，Happ表示，紅十字會會把這類信息集中在它的內(nèi)部網(wǎng)中，從而幫助全球用戶實(shí)現(xiàn)工具與他們特定需求和信息安全要求的匹配。具體包括了培訓(xùn)視頻和其他關(guān)于如何確保應(yīng)用安全的應(yīng)用指南。

2.使用更強(qiáng)大的身份驗(yàn)證方法來保護(hù)云訪問。當(dāng)僅僅只要一個(gè)用戶名和密碼就能夠任意使用你的所有資源時(shí)，采用多模式身份驗(yàn)證方法(MFA)和單點(diǎn)登陸方法(SSO)就變得意義非凡了，它們可以更好地保護(hù)用戶的這些資產(chǎn)。SSO工具能夠更好地支持各種廣泛的基于云應(yīng)用和實(shí)施。通常情況下，這些產(chǎn)品提供了兩個(gè) URL：一個(gè)供用戶進(jìn)行應(yīng)用單點(diǎn)登陸的門戶頁面和一個(gè)供IT管理人員使用的管理門戶頁面。

目前，大多數(shù)SSO產(chǎn)品能夠?qū)崿F(xiàn)數(shù)以千計(jì)應(yīng)用的登陸自動化。一些SSO工具(例如SecureAuth、Okta、Ping和Centrify)可以針對特定應(yīng)用作為基于風(fēng)險(xiǎn)身份驗(yàn)證方法的一部分而指定MFA。這使得SSO成為了一個(gè)強(qiáng)大的保護(hù)工具，而且與依靠用戶選擇個(gè)人密碼相比，這也大大提升了登陸的安全性。這也意味著，IT部門可以在定義基于云的資產(chǎn)和匹配合適安全級別中發(fā)揮更重要的作用。

3. 開始使用加密的電子郵件和文件傳輸來保護(hù)您的通訊。當(dāng)您的大部分通訊都是通過互聯(lián)網(wǎng)進(jìn)行時(shí)，您需要使用更好的方法來保護(hù)這些信息，而最好的方法就是使用加密的電子郵件和文件傳輸。如果您還沒有使用，那也沒關(guān)系，現(xiàn)在這兩種加密方法都是簡單易用的。

國際紅十字會正在使用一個(gè)零知識的電子郵件客戶端。這個(gè)客戶端使用了一個(gè)共享密碼來解密您的消息，并支持相關(guān)人士進(jìn)行回復(fù)。在某些情況下，收信人只是通過一些鼠標(biāo)點(diǎn)擊操作就可以進(jìn)行自我身份驗(yàn)證來閱讀消息。在首次通訊之后，收信人就能夠與您相當(dāng)容易地交換加密消息。這樣就避免了必須預(yù)先選擇一個(gè)通用通訊工具進(jìn)行安全消息的傳輸。紅十字會還使用了一個(gè)文件傳輸服務(wù)，該服務(wù)可對存儲狀態(tài)和傳輸狀態(tài)的文件進(jìn)行加密。這兩種產(chǎn)品可用于需要進(jìn)行高度敏感通訊的應(yīng)用，例如在不同管理委員會之間進(jìn)行消息交換或其他更高級工作中的信息交換。

4. 實(shí)施更好的訪問角色定義以控制您的虛擬機(jī)(VM)。隨著用戶部署越來越多的虛擬基礎(chǔ)設(shè)施，您需要加強(qiáng)保護(hù)措施以保護(hù)用戶對虛擬機(jī)的訪問。諸如 HyTrust和Catbird這樣的產(chǎn)品可以用于部署更高粒度的訪問控制，這樣用戶就可以運(yùn)行駐留在虛擬機(jī)中的應(yīng)用，而無法啟動、停止或刪除整個(gè)虛擬機(jī)。此外，更重要的是這些工具不僅可以在數(shù)據(jù)中心內(nèi)運(yùn)行，而且可以在云中正常工作。這些技術(shù)還可用于對訪問進(jìn)行日志記錄，就如同其它擁有基于角色訪問控制的安全工具產(chǎn)品一樣。“我們無法總是看著你不讓你做壞事，但是我們可以仔細(xì)地實(shí)施基于角色的訪問控制，從而實(shí)現(xiàn)虛擬機(jī)之間的相互隔離，并確保用戶擁有合適的訪問級別，”Seroter說。

5. 為即將到來的微分和虛擬容器做好準(zhǔn)備。諸如Docker容器這樣的工具能夠幫助您集中在云中的資源，并更緊密地針對您的工作負(fù)載和需求。不需要負(fù)責(zé)整個(gè)虛擬機(jī)，您只需要啟動一個(gè)虛擬過程或自動鏈接至針對特定任務(wù)的一系列流程。“容器能夠存在10秒或者10天，”Seroter說。“你必須知道如何評估攻擊面，因?yàn)檫@是一個(gè)完全不同的事物。”

微分產(chǎn)品(例如FireHost)能夠針對特定的工作負(fù)載以編程的方式提供網(wǎng)絡(luò)服務(wù)和策略。他們可以設(shè)置特定的VLAN和防火墻，并在虛擬網(wǎng)絡(luò)接口處強(qiáng)制執(zhí)行這些策略。“安全專業(yè)人員需要比這些新出現(xiàn)的趨勢更提前一步，要了解它們的局限性以及如何安全地使用它們，”Seroter說，“不只是預(yù)防那些被部署的東西。”

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_90764.htm