混合云以增強(qiáng)安全性備受企業(yè)青睞

混合云安全性是對(duì)與IT架構(gòu)關(guān)聯(lián)的數(shù)據(jù)，應(yīng)用程序和基礎(chǔ)架構(gòu)的保護(hù)，該架構(gòu)在多個(gè)IT環(huán)境(包括至少一個(gè)公共或私有云)中整合了一定程度的工作負(fù)載可移植性，編排和管理 。

混合云提供了減少數(shù)據(jù)潛在暴露的機(jī)會(huì)。您可以將敏感或關(guān)鍵數(shù)據(jù)保留在公共云之外，同時(shí)仍可以利用云來(lái)獲取與之沒(méi)有相同風(fēng)險(xiǎn)的數(shù)據(jù)。

為什么選擇混合云以增強(qiáng)安全性?

混合云使企業(yè)可以根據(jù)合規(guī)性，審計(jì)，策略或安全性要求選擇將工作負(fù)載和數(shù)據(jù)放置在何處。

雖然組成混合云的各種環(huán)境保持唯一且獨(dú)立的實(shí)體，但它們之間的遷移是通過(guò)有助于傳輸資源和工作負(fù)載的容器或加密的應(yīng)用程序編程接口(API)來(lái)實(shí)現(xiàn)的。這種獨(dú)立的，但仍相互連接的體系結(jié)構(gòu)使企業(yè)可以在私有云中運(yùn)行關(guān)鍵工作負(fù)載，在公共云中運(yùn)行不太敏感的工作負(fù)載。這種安排可以很大程度地減少數(shù)據(jù)泄露，并允許企業(yè)自定義靈活的IT產(chǎn)品組合。

混合云安全性面臨哪些挑戰(zhàn)?

保護(hù)您的數(shù)據(jù)

通過(guò)加密限制組織的數(shù)據(jù)公開(kāi)。相同的數(shù)據(jù)將在途中或在不同的時(shí)間處于靜止?fàn)顟B(tài)。您需要各種安全性來(lái)限制這兩種狀態(tài)下的數(shù)據(jù)公開(kāi)。

合規(guī)與治理

如果您在醫(yī)療，金融或政府等高度管制的部門(mén)工作，則混合云基礎(chǔ)架構(gòu)可能會(huì)帶來(lái)其他注意事項(xiàng)。知道如何檢查分布式環(huán)境以確保它們符合要求;如何實(shí)施自定義或監(jiān)管安全基準(zhǔn);以及如何準(zhǔn)備安全審核。

供應(yīng)鏈中的安全

混合云環(huán)境通常包括來(lái)自復(fù)雜生態(tài)系統(tǒng)中多家供應(yīng)商的產(chǎn)品和軟件。了解您的供應(yīng)商如何測(cè)試和管理他們的軟件和產(chǎn)品。了解供應(yīng)商何時(shí)，如何檢查源代碼，遵循方式以及遵循哪些實(shí)施準(zhǔn)則，以及供應(yīng)商如何以及何時(shí)提供更新和補(bǔ)丁。

混合云安全性的組成部分

與一般的計(jì)算機(jī)安全性一樣，混合云安全性由三個(gè)組件組成：物理，技術(shù)和管理。

物理控件用于保護(hù)您的實(shí)際硬件。示例包括鎖，防護(hù)裝置和安全攝像機(jī)。

技術(shù)控制是IT系統(tǒng)本身設(shè)計(jì)的保護(hù)措施，例如加密，網(wǎng)絡(luò)身份驗(yàn)證和管理軟件?；旌显频脑S多比較強(qiáng)大的安全工具是技術(shù)控件。

最后，行政控制是旨在幫助人們以增強(qiáng)安全性的方式行動(dòng)的程序，例如培訓(xùn)和災(zāi)難規(guī)劃。

混合云安全性的物理控制

混合云可以跨越多個(gè)位置，這使物理安全成為一個(gè)特殊的挑戰(zhàn)。您無(wú)法在所有機(jī)器周?chē)⑦吔绮㈡i上門(mén)。

對(duì)于公共云之類的共享資源，您可能與您的云提供商簽訂了服務(wù)水平協(xié)議(SLA)，用于定義將要滿足的物理安全標(biāo)準(zhǔn)。例如，一些公共云提供商與政府客戶進(jìn)行了安排，以限制哪些人員可以訪問(wèn)物理硬件。

但是，即使有了良好的SLA，您在依靠公共云提供商時(shí)也會(huì)放棄一定程度的控制。這意味著其他安全控制變得更加重要。

混合云安全性的技術(shù)控制

技術(shù)控制是混合云安全性的核心?；旌显频募泄芾硎辜夹g(shù)控制更易于實(shí)施。

混合云工具箱中一些比較強(qiáng)大的技術(shù)控件是加密，自動(dòng)化，編排，訪問(wèn)控制和端點(diǎn)安全性。

加密

加密極大地降低了即使物理計(jì)算機(jī)受到威脅也暴露任何可讀數(shù)據(jù)的風(fēng)險(xiǎn)。

您可以加密靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。就是這樣：

保護(hù)您的靜態(tài)數(shù)據(jù)：

全盤(pán)(分區(qū)加密)可在計(jì)算機(jī)關(guān)閉時(shí)保護(hù)您的數(shù)據(jù)。嘗試使用Linux磁盤(pán)上統(tǒng)一密鑰設(shè)置(LUSK)格式，該格式可以批量加密硬盤(pán)驅(qū)動(dòng)器分區(qū)。

硬件加密將保護(hù)硬盤(pán)驅(qū)動(dòng)器免受未經(jīng)授權(quán)的訪問(wèn)。嘗試使用可信平臺(tái)模塊(TPM)，這是一種存儲(chǔ)加密密鑰的硬件芯片。啟用TPM后，硬盤(pán)驅(qū)動(dòng)器將被鎖定，直到用戶可以驗(yàn)證其登錄名。

無(wú)需手動(dòng)輸入密碼即可加密根卷。如果您構(gòu)建了高度自動(dòng)化的云環(huán)境，請(qǐng)?jiān)诖嘶A(chǔ)上進(jìn)行自動(dòng)加密。如果您使用的是Linux，請(qǐng)嘗試在物理和虛擬機(jī)上均可使用的網(wǎng)絡(luò)綁定磁盤(pán)加密(NBDE)。獎(jiǎng)勵(lì)：使TPM成為NBDE的一部分，并提供兩層安全性(NMDE將幫助保護(hù)網(wǎng)絡(luò)環(huán)境，而TPM將在本地工作)。

保護(hù)動(dòng)態(tài)數(shù)據(jù)：

加密您的網(wǎng)絡(luò)會(huì)話。運(yùn)動(dòng)中的數(shù)據(jù)被截取和更改的風(fēng)險(xiǎn)要高得多。請(qǐng)嘗試Internet協(xié)議安全性(IPsec)，它是使用加密技術(shù)的Internet協(xié)議的擴(kuò)展。

選擇已經(jīng)實(shí)現(xiàn)安全標(biāo)準(zhǔn)的產(chǎn)品。尋找支持聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)出版物140-2的產(chǎn)品，該出版物使用加密模塊來(lái)保護(hù)高風(fēng)險(xiǎn)數(shù)據(jù)。

自動(dòng)化

要了解為什么自動(dòng)化自然適用于混合云，請(qǐng)考慮手動(dòng)監(jiān)視和修補(bǔ)的缺點(diǎn)。

手動(dòng)監(jiān)視安全性和合規(guī)性通常帶來(lái)的風(fēng)險(xiǎn)大于回報(bào)。手動(dòng)補(bǔ)丁和配置管理存在異步實(shí)施的風(fēng)險(xiǎn)。這也使實(shí)施自助服務(wù)系統(tǒng)更加困難。如果存在安全漏洞，則手動(dòng)修補(bǔ)程序和配置的記錄可能會(huì)丟失，并可能導(dǎo)致團(tuán)隊(duì)爭(zhēng)斗和指責(zé)。此外，手動(dòng)過(guò)程往往更容易出錯(cuò)，并且花費(fèi)更多時(shí)間。

相比之下，自動(dòng)化使您能夠領(lǐng)先于風(fēng)險(xiǎn)，而不是對(duì)風(fēng)險(xiǎn)做出反應(yīng)。自動(dòng)化使您能夠設(shè)置規(guī)則，共享和驗(yàn)證流程，最終使通過(guò)安全審核更加容易。在評(píng)估混合云環(huán)境時(shí)，請(qǐng)考慮自動(dòng)化以下過(guò)程：

監(jiān)視您的環(huán)境。

檢查合規(guī)性。

實(shí)施補(bǔ)丁。

實(shí)施自定義或監(jiān)管安全基準(zhǔn)。

編排

云編排更進(jìn)一步。您可以將自動(dòng)化定義為特定的成分，將業(yè)務(wù)流程視為將這些成分整合在一起的食譜食譜。

通過(guò)編排，可以將云資源及其軟件組件作為一個(gè)整體進(jìn)行管理，然后通過(guò)模板以自動(dòng)化，可重復(fù)的方式部署它們。

編排對(duì)安全性的比較大的好處是標(biāo)準(zhǔn)化。您可以提供云的靈活性，同時(shí)仍可確保部署的系統(tǒng)符合安全性和合規(guī)性標(biāo)準(zhǔn)。

訪問(wèn)控制

混合云還取決于訪問(wèn)控制。將用戶帳戶限制為僅他們需要的特權(quán)，并考慮要求兩因素身份驗(yàn)證。限制對(duì)連接到虛擬專用網(wǎng)絡(luò)(VPN)的用戶的訪問(wèn)也可以幫助您維護(hù)安全標(biāo)準(zhǔn)。

端點(diǎn)安全

端點(diǎn)安全性通常意味著如果用戶的智能手機(jī)，平板電腦或計(jì)算機(jī)丟失，被盜或被黑客入侵，則使用軟件來(lái)遠(yuǎn)程撤消訪問(wèn)或擦除敏感數(shù)據(jù)。

用戶可以從任何地方使用個(gè)人設(shè)備連接到混合云，從而使端點(diǎn)安全成為必不可少的控制。攻擊者可能利用針對(duì)個(gè)人用戶的網(wǎng)絡(luò)釣魚(yú)攻擊和危害個(gè)人設(shè)備的惡意軟件來(lái)針對(duì)您的系統(tǒng)。

我們?cè)诖颂帉⑵淞袨榧夹g(shù)控制，但是端點(diǎn)安全性結(jié)合了物理，技術(shù)和管理控制：保持物理設(shè)備的安全，使用技術(shù)控制來(lái)限制設(shè)備落入不當(dāng)時(shí)手的風(fēng)險(xiǎn)，并培訓(xùn)用戶良好的安全實(shí)踐。

混合云安全性的管理控制

最后，實(shí)施混合云安全性高的管理控制以解決人為因素。由于混合云環(huán)境是高度連接的，因此安全是每個(gè)用戶的責(zé)任。

災(zāi)難準(zhǔn)備和恢復(fù)是管理控制的一個(gè)例子。如果您的混合云的一部分被關(guān)閉，那么誰(shuí)負(fù)責(zé)什么動(dòng)作呢?您是否有用于數(shù)據(jù)恢復(fù)的協(xié)議?

混合體系結(jié)構(gòu)為管理安全性提供了顯著的優(yōu)勢(shì)。由于您的資源可能會(huì)分布在現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)硬件之間，因此您可以選擇進(jìn)行備份和冗余。在涉及公共云和私有云的混合云中，如果私有數(shù)據(jù)中心云上的系統(tǒng)發(fā)生故障，則可以故障轉(zhuǎn)移到公共云。

它的安全性不會(huì)一次全部發(fā)生

IT安全需要時(shí)間，并且需要迭代。安全形勢(shì)總是在變化。與其給自己施加壓力，以使其達(dá)到完美的安全狀態(tài)(不存在)，不如將一只腳放在另一只腳上，并采取合理的，經(jīng)過(guò)深思熟慮的動(dòng)作，以使您今天比以前更安全。