[[185698]]

隨著越來越多的應(yīng)用利用云計(jì)算的力量，其安全性變得越來越受關(guān)注。以下讓我們看看確保云計(jì)算中的最大安全性三個(gè)關(guān)鍵的實(shí)踐。

為了更深入地探討云計(jì)算安全的復(fù)雜性，行業(yè)廠商最近主辦了一個(gè)網(wǎng)絡(luò)研討會(huì)。產(chǎn)品策略威脅堆棧主管Vikram Varakantam和AdRoll公司高級(jí)DevOps工程師Ilya Kalinin在會(huì)上闡述了組織在擴(kuò)展云基礎(chǔ)架構(gòu)時(shí)需要考慮的一些主要的安全問題。

作為一種趨勢(shì)，云計(jì)算已成為行業(yè)主流。并且毫不夸張地說，每個(gè)成功的企業(yè)已經(jīng)采用或正在采用云計(jì)算，其目標(biāo)是從云計(jì)算的敏捷性、靈活性和速度中受益。

雖然許多組織已經(jīng)完全擁抱云計(jì)算，但并不是所有組織都能夠完全或準(zhǔn)確地識(shí)別、評(píng)估以及解決在云計(jì)算中快速擴(kuò)展的關(guān)鍵安全隱患。

為了確保成功，組織需要制定和實(shí)施云計(jì)算安全策略，在采用云計(jì)算前期、中期和后期進(jìn)行引導(dǎo)。在某種程度上，這意味著他們需要確定適當(dāng)?shù)墓ぞ吆土鞒?。這也意味著DevOps和安全團(tuán)隊(duì)必須知道如何使他們的過程從一開始就可以確保他們繼續(xù)以云計(jì)算的速度構(gòu)建和操作，同時(shí)保持安全性和合規(guī)性(如果需要的話)。

將安全性作為在云計(jì)算中運(yùn)行大規(guī)模本地應(yīng)用程序的一個(gè)組成部分，管理組織的云環(huán)境中的風(fēng)險(xiǎn)至關(guān)重要。為了在這一領(lǐng)域提供指導(dǎo)，以下推薦了三個(gè)關(guān)鍵實(shí)踐，可以幫助組織在云環(huán)境中實(shí)現(xiàn)大規(guī)模的安全。

1.發(fā)展和維護(hù)可見性

如今，企業(yè)快速增長的業(yè)務(wù)越來越依賴于現(xiàn)代基礎(chǔ)設(shè)施(采用公共云，私有云以及混合云)來促進(jìn)其擴(kuò)大規(guī)模。

然而，許多人發(fā)現(xiàn)其擴(kuò)展有限的可見性，從風(fēng)險(xiǎn)角度來看，它們的云基礎(chǔ)架構(gòu)內(nèi)部，特別是在業(yè)務(wù)關(guān)鍵數(shù)據(jù)駐留的工作負(fù)載和云服務(wù)內(nèi)部正在運(yùn)行的應(yīng)用程序。

雖然關(guān)于遷移到公共云是否比傳統(tǒng)數(shù)據(jù)中心更加安全或更不安全的爭論仍然存在，但仍然有一個(gè)清晰的事實(shí)：公共云廣泛采用，并且不會(huì)很快消失。

所以唯一合法的問題是：企業(yè)會(huì)盲目或有信心地?cái)U(kuò)大規(guī)模嗎?

為了保持可見性，企業(yè)必須確保其具有實(shí)時(shí)和歷史的工作負(fù)載窗口。工作負(fù)載是企業(yè)的云基礎(chǔ)架構(gòu)的中心，它擁有企業(yè)的基礎(chǔ)架構(gòu)中發(fā)生事情的真實(shí)來源。因此，企業(yè)必須具備可見性。企業(yè)還需要將無縫可見性集成到現(xiàn)有的安全，開發(fā)和操作工作流程中，以確保從一開始就實(shí)現(xiàn)自動(dòng)監(jiān)控。

2.信任但需要驗(yàn)證

人們已經(jīng)多次談到“信任但驗(yàn)證”模型，但它重復(fù)。如今，很多組織都期望信任，但他們沒有驗(yàn)證。

信任是至關(guān)重要的，因?yàn)槿绻髽I(yè)需要快速移動(dòng)和創(chuàng)建業(yè)務(wù)，用戶都必須訪問其基礎(chǔ)設(shè)施。但是，企業(yè)還必須持續(xù)監(jiān)控和審計(jì)，以便其可以驗(yàn)證業(yè)務(wù)關(guān)鍵活動(dòng)，并有效管理風(fēng)險(xiǎn)。

3.使用基于策略的行為監(jiān)控和調(diào)查內(nèi)容

制定政策鼓勵(lì)積極的安全過程。這意味著設(shè)計(jì)基于行為而不是明確指令的規(guī)則。例如，實(shí)施一個(gè)良好的安全過程將允許開發(fā)人員訪問生產(chǎn)環(huán)境，但是只有當(dāng)他們通過VPN、jumphosts登錄時(shí)。這種類型的行為監(jiān)控可以幫助發(fā)現(xiàn)意外的安全事件，同時(shí)提高生產(chǎn)力，加強(qiáng)企業(yè)的安全。

基于策略的行為監(jiān)控還允許企業(yè)的安全系統(tǒng)根據(jù)需要學(xué)習(xí)新模式并調(diào)整策略，同時(shí)使用正確的內(nèi)容調(diào)查異常，以準(zhǔn)確地衡量安全風(fēng)險(xiǎn)與異常。

在威脅堆棧中，企業(yè)需要重視聽取客戶如何在現(xiàn)實(shí)世界中思考和應(yīng)用安全原則、工具。

AdRoll公司是當(dāng)今最大的在線廣告平臺(tái)之一，擁有超過25,000個(gè)客戶。 AdRoll公司團(tuán)隊(duì)管理大型AWS云基礎(chǔ)設(shè)施部署(跨越數(shù)以千計(jì)的服務(wù)器)，以支持這個(gè)巨大而復(fù)雜的環(huán)境。 DevOps高級(jí)工程師Ilya Kalinin擁有云基礎(chǔ)設(shè)施，DevOps工作流，自動(dòng)化和云安全的深厚背景，以及云安全專題的現(xiàn)實(shí)經(jīng)驗(yàn)。

以下是Kalinin給出的更容易和更成功地實(shí)現(xiàn)云計(jì)算之旅的三個(gè)提示：

(1)要有耐心

人們的耐心很容易被云安全的復(fù)雜性所淹沒，所以Ilya建議退一步，以便進(jìn)一步了解。其關(guān)鍵是要做到云安全，它可能需要一些時(shí)間。所以嘗試實(shí)施這個(gè)過程有耐心，并專注于完成這個(gè)過程(而不是只是讓它完成)。

(2)與供應(yīng)商進(jìn)行溝通

云計(jì)算安全是一個(gè)復(fù)雜的主題，當(dāng)企業(yè)向組合中添加外部透視功能時(shí)，它可能非常有用。 Ilya建議使用企業(yè)需要將其供應(yīng)商作為一種資源。企業(yè)經(jīng)常能夠通過分享從客戶那里獲得的見解，并可以幫助客戶看到更廣泛的景象。所以如果企業(yè)陷入困境，不知道該怎么做，請(qǐng)與供應(yīng)商聯(lián)系，大多數(shù)供應(yīng)商都會(huì)提供幫助。

(3)決定是建立還是購買

企業(yè)可能會(huì)感到驚訝的是，自己投入建設(shè)云安全設(shè)施是多么昂貴，因此這意味著拼湊在一起的解決方案或從頭開始構(gòu)建。如果企業(yè)正在考慮建立自己的解決方案，一定先問問自己這樣的問題：

它需要多少工時(shí)?

這種努力會(huì)耗盡業(yè)務(wù)所需的資源嗎?

維護(hù)要求和成本(短期和長期)是多少?

與現(xiàn)成的SaaS產(chǎn)品(成本和特性)如何比較?

是否有足夠的安全專業(yè)知識(shí)來建立一個(gè)系統(tǒng)?

將其整合在一起

可見性是公共云基礎(chǔ)設(shè)施運(yùn)行安全的重要組成部分。它應(yīng)該從低開銷工作負(fù)載開始，并擴(kuò)展到基礎(chǔ)設(shè)施和外部區(qū)域，如網(wǎng)絡(luò)和軟件。當(dāng)企業(yè)努力實(shí)現(xiàn)這種可見性時(shí)，請(qǐng)記住建立一個(gè)“信任但驗(yàn)證”范例，讓企業(yè)快速運(yùn)行并保持風(fēng)險(xiǎn)。另外，在做出任何補(bǔ)救決定之前，建立基本規(guī)則，監(jiān)控行為并根據(jù)內(nèi)容進(jìn)行調(diào)查。最后，當(dāng)企業(yè)正在向云計(jì)算遷移時(shí)，請(qǐng)耐心等待這個(gè)過程，不要害怕要求外部輸入，而是做出明智的決定是否建立或購買。

無論企業(yè)在云計(jì)算發(fā)展之路上遇到什么困難，有了經(jīng)過驗(yàn)證的最佳實(shí)踐和基于操作經(jīng)驗(yàn)的專家指導(dǎo)企業(yè)實(shí)施，企業(yè)的云計(jì)算應(yīng)用將會(huì)取得成功。