|
在通往多云環(huán)境的道路上保護(hù)數(shù)據(jù)中心
如今���,云計(jì)算和安全性是IT領(lǐng)域最具發(fā)展勢(shì)頭的兩個(gè)趨勢(shì)。有趣的是,云計(jì)算卻讓安全性處于更艱難的境地���。
在安全方面,有一些事情需要考慮����。當(dāng)然,IT領(lǐng)域外圍具有足夠安全性的日子早已不復(fù)存在�。但是當(dāng)采用云計(jì)算和多云,意味著基礎(chǔ)設(shè)施的外圍有些模糊不清并且可能發(fā)生變化時(shí)��,企業(yè)如何提供外圍安全性?當(dāng)工作負(fù)載遷移到另一個(gè)場(chǎng)所時(shí)��,企業(yè)應(yīng)如何協(xié)調(diào)控制和可見性的下降?最后����,也許最重要的是��,在管理現(xiàn)有安全保護(hù)傘時(shí)�����,云計(jì)算和多云是否代表擴(kuò)大了攻擊面?
是的��,安全性具有挑戰(zhàn)性�����。但是���,當(dāng)企業(yè)IT團(tuán)隊(duì)開始采用多云路徑時(shí),應(yīng)該考慮一些事情�。外圍安全性可能還不夠,但仍然很重要
毫無疑問���,基礎(chǔ)設(shè)施護(hù)城河式的安全方法正在過時(shí)老化����。但是���,確實(shí)必須有一些外圍安全措施��。在典型的數(shù)據(jù)中心意義上�,這就是網(wǎng)絡(luò)團(tuán)隊(duì)以具有下一代功能的防火墻部署網(wǎng)絡(luò)安全的原因�����。
這個(gè)模型在云計(jì)算中占有一席之地��。隨著團(tuán)隊(duì)部署資源池���,使用安全網(wǎng)關(guān)對(duì)其進(jìn)行前端處理至關(guān)重要�。虛擬私有云(VPC)應(yīng)與許多與物理數(shù)據(jù)中心相同的安全最佳實(shí)踐運(yùn)行����。這意味著部署一個(gè)功能強(qiáng)大的安全設(shè)備,盡管是一個(gè)虛擬的安裝設(shè)備����。
當(dāng)然,除了提供下一代防火墻功能外���,該虛擬設(shè)備還是確保數(shù)據(jù)中心和云平臺(tái)之間的所有流量都是經(jīng)過加密的關(guān)鍵因素��。
微分段在數(shù)據(jù)中心之外占有一席之地
大多數(shù)具有安全意識(shí)的人都熟悉網(wǎng)絡(luò)微分段��,這是加強(qiáng)安全性的一種手段���。但這種分割不僅僅是數(shù)據(jù)中心的必要條件��。
在多云世界中��,東西方向流量的定義擴(kuò)展到覆蓋企業(yè)中任何地方的工作負(fù)載之間的任何流量�。例如���,使用公共云資源臨時(shí)提高應(yīng)用程序容量的微突發(fā)�����,意味著工作負(fù)載可能在私有數(shù)據(jù)中心和一個(gè)或多個(gè)公共云平臺(tái)之間動(dòng)態(tài)地驅(qū)動(dòng)流量����。當(dāng)流量離開數(shù)據(jù)中心時(shí)�,其安全要求不會(huì)下降。這意味著像微分段這樣的工具必須超越數(shù)據(jù)中心�,擴(kuò)展到公共云。
事實(shí)上�����,隨著邊緣計(jì)算繼續(xù)快速普及,企業(yè)發(fā)現(xiàn)工作負(fù)載也將在網(wǎng)絡(luò)邊緣運(yùn)行�����。例如����,物聯(lián)網(wǎng)等運(yùn)動(dòng)在某些情況下會(huì)支持分布式云計(jì)算��,這意味著微分段解決方案甚至不會(huì)局限于(私有云和公共云)數(shù)據(jù)中心領(lǐng)域���。實(shí)際上����,遠(yuǎn)程站點(diǎn)(校園和分支機(jī)構(gòu))也需要融入多層安全組合���。
從裸機(jī)服務(wù)器到容器
制定的安全策略也需要更加精細(xì)�����。僅在數(shù)據(jù)中心邊緣����,VPC網(wǎng)關(guān)或機(jī)架交換機(jī)頂部的訪問端口等聚合點(diǎn)上強(qiáng)制執(zhí)行是不夠的。隨著工作負(fù)載的多樣化�,企業(yè)需要有一種方法可以保護(hù)從裸機(jī)服務(wù)器到虛擬機(jī)的所有內(nèi)容,以及私有環(huán)境和公共環(huán)境中的容器����。
這可以最低限度地對(duì)安全架構(gòu)提出額外的要求。但它也迫使企業(yè)范圍內(nèi)的安全能力合理化�����。在這種情況下�,多云環(huán)境的多樣性代表了日益復(fù)雜的分布式安全問題。
面臨多樣性的挑戰(zhàn)
安全環(huán)境更復(fù)雜�,網(wǎng)絡(luò)犯罪分子比以往任何時(shí)候都更加頑固,但組織正在利用基于獨(dú)立安全工具的安全解決方案��,導(dǎo)致供應(yīng)商蔓延和無效的安全策略���。組織現(xiàn)在認(rèn)識(shí)到�,集成不同安全技術(shù)的能力是實(shí)現(xiàn)有效安全自動(dòng)化架構(gòu)的主要挑戰(zhàn)�。根據(jù)波洛蒙研究所最近進(jìn)行的一項(xiàng)研究,59%的受訪者認(rèn)為他們的組織需要精簡(jiǎn)其供應(yīng)商數(shù)量���。
但是當(dāng)運(yùn)營(yíng)負(fù)載超過企業(yè)能力時(shí)會(huì)發(fā)生什么?而在經(jīng)濟(jì)的蓬勃發(fā)展時(shí)期��,這個(gè)問題已經(jīng)存在���。如果經(jīng)濟(jì)放緩或蕭條��,那些沒有明確運(yùn)營(yíng)效率的企業(yè)將面臨一個(gè)困難的決定:他們是否采取了安全措施或達(dá)到運(yùn)營(yíng)成本的目標(biāo)?
企業(yè)應(yīng)該盡可能地尋找在不同環(huán)境中管理安全的通用方法。對(duì)多云的推動(dòng)帶來了向多云管理平臺(tái)的轉(zhuǎn)變�����。這些平臺(tái)代表了指定和最終實(shí)施安全策略的常用方法���,使企業(yè)能夠超越特定于云計(jì)算的解決方案��。
這具有在多種資源集上統(tǒng)一安全策略的附加優(yōu)點(diǎn)�����。應(yīng)用程序是駐留在私有數(shù)據(jù)中心還是公共云A或公共云B中無關(guān)緊要�����。無論資源在何處��,安全需求都應(yīng)該相同�。使用通用的管理方法來確保這種情況最終將帶來更強(qiáng)的安全性和操作優(yōu)勢(shì)。
并非一切都從多云開始
可以肯定的是�����,大多數(shù)企業(yè)將通過輕量級(jí)移動(dòng)到單個(gè)云平臺(tái)以走上他們的多云路徑���。如果在最初的計(jì)劃中�,安全性或者固定在云平臺(tái)上�,或者考慮到單一的云計(jì)算,那么當(dāng)需要擴(kuò)展時(shí)����,企業(yè)就會(huì)發(fā)現(xiàn)自己處于困境。但也許最重要的是�����,企業(yè)需要盡早考慮安全的運(yùn)營(yíng)方面���。雖然可以直接部署增量工具和解決方案來應(yīng)對(duì)新的挑戰(zhàn)���,但其運(yùn)營(yíng)往往需要像海上船舶一樣謹(jǐn)慎操縱,而提前觀測(cè)隱現(xiàn)的障礙物要比即將撞上需要快速調(diào)整要好得多。
|
