精確制定的微分割策略可防范未經(jīng)授權(quán)通信的應(yīng)用程序，并在此過程中提醒運(yùn)營人員潛在的威脅。

數(shù)據(jù)和工作負(fù)載向云的移動更像是一次倉促的沖刺。在尋求競爭優(yōu)勢的過程中，企業(yè)顯然渴望利用云計算提供給他們的敏捷性和靈活性，以至于安全常常是事后的想法。但是，云計算提供商不關(guān)心這個嗎？有些公司驚訝地聽到答案是否定的，至少不完全是這樣。

云計算和基礎(chǔ)設(shè)施即服務(wù)（IaaS）提供商采用共享安全模式運(yùn)行。當(dāng)與客戶和潛在客戶交談時，發(fā)現(xiàn)即使是大型和復(fù)雜的公司也很難將他們的想法包裝在這個概念的周圍。安全是提供者和用戶之間的共同責(zé)任，在大多數(shù)情況下，其責(zé)任相當(dāng)明確。

[[220825]]

例如，區(qū)分“云端（公共云提供商）”的安全性（提供者的責(zé)任）和“云中（客戶）”的安全性。通常，供應(yīng)商負(fù)責(zé)保護(hù)云計算基礎(chǔ)設(shè)施的安全，其中包括硬件、軟件、網(wǎng)絡(luò)和物理設(shè)施。用戶負(fù)責(zé)保護(hù)他們自己的操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)。

這里有些東西會變得模糊不清：云計算提供商可能會提供保護(hù)自己資產(chǎn)的工具，但是如果用戶選擇使用這些工具，則需要負(fù)責(zé)配置和管理它們，而不是提供商負(fù)責(zé)?？偟膩碚f，云計算用戶需要積極主動地認(rèn)真了解提供商的安全能力，然后弄清楚他們需要做些什么來支持共享安全協(xié)議的結(jié)束。

微分割面臨的挑戰(zhàn)

現(xiàn)代數(shù)據(jù)中心越來越多地是內(nèi)部部署，私有云和公共云環(huán)境的混合體，其中包含一系列物理服務(wù)器、虛擬機(jī)和容器。這對安全團(tuán)隊構(gòu)成了一個復(fù)雜的挑戰(zhàn)：如何在多種環(huán)境中提供應(yīng)用程序和工作負(fù)載，以及在各種安全標(biāo)準(zhǔn)和功能不同的提供商之間移動。

目前，云計算安全的主要驅(qū)動力是合規(guī)性。在審計人員的推動下，安全團(tuán)隊正在積極探索微分割市場，作為滿足合規(guī)要求的最佳實(shí)踐。但是許多組織認(rèn)為這是實(shí)施的一個挑戰(zhàn)。主要的障礙是缺乏對數(shù)據(jù)中心資產(chǎn)、工作流程和流程的可見性，即使在單一的云環(huán)境中也是如此。

如果沒有可見性，很難在微觀層面上建立安全策略，如果不是不可能的話。更復(fù)雜的是，人們談?wù)摰拇蠖鄶?shù)公司都是基于混合云的工作負(fù)載，這些工作負(fù)載可以在多個異構(gòu)的本地部署和云環(huán)境中遷移。

原生云控制功能不足

云計算和IaaS提供商經(jīng)常提供特定于個人的環(huán)境工具來設(shè)置安全組的安全策略。但是，這些工具并不適合在當(dāng)今動態(tài)數(shù)據(jù)中心實(shí)現(xiàn)大規(guī)模微分割。這些并不能解決可見性問題，讓用戶嘗試識別他們的資產(chǎn)用于分組目的。他們傾向于將重點(diǎn)放在OSI模型中的第4層傳輸層上，而入侵者真正駐留在第7層應(yīng)用層中的應(yīng)用程序。原生云安全控制還缺乏動態(tài)策略設(shè)置或標(biāo)記功能，這意味著隨著工作負(fù)載自動向上或向下擴(kuò)展、更新或修改安全策略的能力也成為將工作負(fù)載移至云的關(guān)鍵原因之一。

在多云數(shù)據(jù)中心中，每個提供商通常專注于在自己的環(huán)境中解決問題。使用一個提供商工具創(chuàng)建的策略在遷移到不同環(huán)境時將無法執(zhí)行工作負(fù)載，將責(zé)任推給用戶以管理多個策略解決方案。云計算提供商工具也缺乏設(shè)置策略以滿足特定合規(guī)性要求的靈活性。

精確制定的微分割策略可防范未經(jīng)授權(quán)通信的應(yīng)用程序，并在此過程中提醒操作人員潛在的威脅。云計算提供商提供的大多數(shù)工具都缺乏這種威脅檢測方面。

了解云計算客戶負(fù)責(zé)保護(hù)他們自己的資產(chǎn)并管理用于保護(hù)他們的工具，他們必須超越云計算提供商提供的工具，并將問題交由自己處理。

做這件事需要做什么？

企業(yè)用戶必須清楚地了解云計算提供商的安全措施的完美程度，并確定他們需要覆蓋的內(nèi)容。這需要了解供應(yīng)商的安全控制和對環(huán)境的持續(xù)監(jiān)控，以確保供應(yīng)商保持其交易的結(jié)束。

為了在混合基礎(chǔ)設(shè)施中有效地實(shí)現(xiàn)微分割，安全團(tuán)隊需要深入了解應(yīng)用程序和進(jìn)程、它們之間的關(guān)系以及它們的編排數(shù)據(jù)。此可見性必須擴(kuò)展到第7層進(jìn)程來處理級別，以便發(fā)現(xiàn)和識別將微程序分組的應(yīng)用程序。

為簡化實(shí)施和持續(xù)管理，安全管理員需要一個獨(dú)立于平臺的策略創(chuàng)建和控制機(jī)制，可在多個融合云環(huán)境中運(yùn)行，并隨時隨地處理工作負(fù)載。他們還需要一個靈活的策略引擎，允許持續(xù)更新和完善策略，并在工作負(fù)載自動擴(kuò)展和縮減時動態(tài)標(biāo)記。

用戶應(yīng)該能夠靈活地設(shè)置與高度具體的合規(guī)性要求相關(guān)的策略。他們還應(yīng)該靈活部署，以利用本地云分發(fā)方法。最后，他們應(yīng)該能夠檢測潛伏在數(shù)據(jù)中心內(nèi)部的威脅。

云計算的商業(yè)利益非常明確。但沒有足夠的安全性，它們就會失去。通過獲取在混合基礎(chǔ)設(shè)施中有效實(shí)施微分割的知識和工具，IT安全團(tuán)隊可以成為企業(yè)充分利用云計算來推動戰(zhàn)略并實(shí)現(xiàn)目標(biāo)的英雄。