許多組織對(duì)云計(jì)算都有非常好的初次體驗(yàn)，因此它們很快就想轉(zhuǎn)移到一個(gè)混合云環(huán)境中，在私有云和公共云之間共享數(shù)據(jù)和工作負(fù)載?；旌显扑峁┑撵`活性和控制能力是它在可預(yù)見(jiàn)的未來(lái)有望成為主流云計(jì)算模型的原因。

[[261130]]

然而，在構(gòu)建混合云的過(guò)程中，公司通常不會(huì)考慮安全問(wèn)題。當(dāng)他們意識(shí)到這個(gè)環(huán)境引入了一些傳統(tǒng)基礎(chǔ)設(shè)施中不存在的獨(dú)特安全考慮時(shí)，這可能會(huì)導(dǎo)致令人不快的意外。這就是為什么混合云需要在設(shè)計(jì)上是安全的。

云安全是一個(gè)共同的責(zé)任

公共云提供商提供企業(yè)級(jí)的安全性，但這并不能免除客戶保護(hù)數(shù)據(jù)、實(shí)施訪問(wèn)控制和教育用戶的責(zé)任。私有云安全非常復(fù)雜，因?yàn)樗接性瓶梢圆扇《喾N形式。它們可以完全駐留在現(xiàn)場(chǎng)，完全在公共云或某種組合中托管。私有云基礎(chǔ)設(shè)施還可以專用于單個(gè)租戶，也可以跨多個(gè)區(qū)域共享，并提供專用資源。每個(gè)環(huán)境都有不同的安全需求。

云計(jì)算的規(guī)模和動(dòng)態(tài)性使可見(jiàn)性和控制變得復(fù)雜。許多客戶錯(cuò)誤地認(rèn)為云提供商負(fù)責(zé)安全。事實(shí)上，安全是一項(xiàng)共同的責(zé)任。根據(jù)我的經(jīng)驗(yàn)，大多數(shù)云安全失敗的原因是客戶沒(méi)有履行他們的義務(wù)。

沒(méi)有單一的云安全機(jī)制可以完成全部工作。對(duì)于理想的云安全環(huán)境應(yīng)該是什么樣子，也沒(méi)有多少共識(shí)。因此，這個(gè)市場(chǎng)上的大多數(shù)產(chǎn)品還在不斷發(fā)展。設(shè)計(jì)安全始于評(píng)估風(fēng)險(xiǎn)和構(gòu)建技術(shù)框架。

一種新的計(jì)算方法

遷移到云計(jì)算并不意味著完全放棄控制權(quán)，但它確實(shí)需要接受一種基于身份、數(shù)據(jù)和工作負(fù)載(而不是底層平臺(tái))的新安全思維。能夠圍繞業(yè)務(wù)支持而不是設(shè)備保護(hù)重新定位自己的安全專業(yè)人員特別適合保護(hù)公共云。

云計(jì)算是高度分布式和動(dòng)態(tài)的，工作負(fù)載不斷地上下旋轉(zhuǎn)?？梢?jiàn)性對(duì)安全性至關(guān)重要。Gartner認(rèn)為，云安全應(yīng)該解決三個(gè)傳統(tǒng)上不屬于IT領(lǐng)域的核心問(wèn)題:多租戶風(fēng)險(xiǎn)、虛擬化安全和SaaS控制。

多租戶風(fēng)險(xiǎn)是云架構(gòu)固有的，因?yàn)槎鄠€(gè)虛擬機(jī)(vm)共享相同的物理空間。大型公共云提供商竭盡全力降低一個(gè)租戶訪問(wèn)另一個(gè)VM中的數(shù)據(jù)的可能性，但如果服務(wù)器配置不當(dāng)，內(nèi)部基礎(chǔ)設(shè)施是很容易受到影響的。對(duì)一個(gè)混合云環(huán)境所做的更改也可能無(wú)意中影響到另一個(gè)。

虛擬化安全性是指虛擬化環(huán)境特有的風(fēng)險(xiǎn)。雖然虛擬機(jī)監(jiān)控程序和vm在很多方面都比裸機(jī)環(huán)境更安全，因?yàn)椴僮飨到y(tǒng)與硬件是隔離的，但是使用存儲(chǔ)和網(wǎng)絡(luò)等共享資源也會(huì)引入專用服務(wù)器上不存在的潛在漏洞。

SaaS環(huán)境需要更多地關(guān)注身份驗(yàn)證和訪問(wèn)控制，因?yàn)橛脩舨⒉粨碛芯W(wǎng)絡(luò)。需要制定治理標(biāo)準(zhǔn)，以確保用戶對(duì)數(shù)據(jù)采取適當(dāng)?shù)念A(yù)防措施，并滿足所有必要的法規(guī)和遵從性指南。

沒(méi)有這些新能力，組織將很難獲得對(duì)混合云環(huán)境的可見(jiàn)性，因此幾乎不可能確定哪些計(jì)算和存儲(chǔ)任務(wù)正在哪些地方，使用哪些數(shù)據(jù)以及在哪個(gè)方向上進(jìn)行。在這種情況下，策略的提供和執(zhí)行可能很快變得不切實(shí)際。但是，如果組織使用新的云本地工具實(shí)踐設(shè)計(jì)安全原則，他們可以獲得單一窗格的活動(dòng)視圖，從而實(shí)現(xiàn)策略實(shí)施。

安全混合云部署的三個(gè)關(guān)鍵

有三個(gè)領(lǐng)域值得特別關(guān)注：加密、端點(diǎn)安全和訪問(wèn)控制。

加密是最好的數(shù)據(jù)保護(hù)形式。在任何階段，進(jìn)出公共云的數(shù)據(jù)都應(yīng)該加密，敏感數(shù)據(jù)永遠(yuǎn)不應(yīng)該不加密。所有云提供商都支持加密，但不一定是默認(rèn)。客戶需要選擇最合適和最安全的加密密鑰類型。

當(dāng)通過(guò)公共互聯(lián)網(wǎng)訪問(wèn)公共云服務(wù)時(shí)，需要特別注意端點(diǎn)安全，以防止為攻擊者創(chuàng)建訪問(wèn)點(diǎn)或成為惡意軟件的目標(biāo)。例如，如果攻擊者破壞了一臺(tái)PC，并以公司公共云的管理員身份登錄，那么他就擁有了進(jìn)入這個(gè)王國(guó)的鑰匙，硬件防火墻的保護(hù)不夠。

安全web網(wǎng)關(guān)(SWG)利用URL過(guò)濾、高級(jí)威脅防御(ATD)和惡意軟件檢測(cè)來(lái)保護(hù)組織并強(qiáng)制執(zhí)行internet策略合規(guī)性。SWG以物理和虛擬的本地設(shè)備、基于云的服務(wù)或混合云/內(nèi)部部署解決方案的形式交付。它們提供了額外的一層保護(hù)，以抵御勒索軟件等破壞性攻擊，并使基于云的服務(wù)更安全、更高效地被采用。

最后，如果員工、承包商和供應(yīng)商同時(shí)使用公共和私有云，那么特定于云的訪問(wèn)控制是必要的。單點(diǎn)登錄(SSO)和聯(lián)合訪問(wèn)控制可以在保持控制和安全監(jiān)控的同時(shí)最大限度地減少不便。

身份和訪問(wèn)管理即服務(wù)(IDaaS)可以在多租戶和專用環(huán)境中工作。它提供跨組織整個(gè)云環(huán)境的身份治理和管理、訪問(wèn)管理和分析功能。IDaaS還可以與現(xiàn)有的訪問(wèn)管理軟件集成，以管理對(duì)遺留應(yīng)用程序的訪問(wèn)。

云安全聯(lián)盟擁有廣泛的資源庫(kù)，涵蓋了混合云安全的實(shí)踐。在開(kāi)始遷移過(guò)程之前，組織應(yīng)該熟悉這些指南。從一開(kāi)始就將安全性構(gòu)建到混合基礎(chǔ)設(shè)施中，可以最大限度地減少以后回填的痛苦和延遲。