|
確保云安全的優(yōu)秀方法是什么?
隨著云計算成為企業(yè)開展業(yè)務的一種基礎技術���,云安全已變得至關重要�����。然而�����,充分了解云安全的最佳策略是一個真正的挑戰(zhàn)���。企業(yè)需要解決以下問題:
為什么專注于特定于云計算的網絡安全是一個錯誤?
在云中管理可見性有哪些挑戰(zhàn)?
如何減少云安全中的人為錯誤?
企業(yè)如何構建即使在基礎設施發(fā)生變化時仍可確保云安全?
為了提供有關云計算安全性的見解, Tanium公司北美地區(qū)首席信息安全官Chris Hallenbeck對此進行了探討�����。
云安全
云存儲和備份的好處
保護企業(yè)數(shù)據(jù)絕對至關重要�,這就是許多企業(yè)在其云存儲中使用自動備份的原因。它具有可擴展性���、靈活性�、可讓企業(yè)高枕無憂���。
1. 如何定義云安全性?
Hallenbec 說��,“對于云平臺的安全��,云計算提供商需要自己負責底層基礎設施的安全�。這只是一個自動的假設,因為這是他們的管理領域�����,而用戶在云平臺負責數(shù)據(jù)的處理和保護�����。
最好假設用戶負責將數(shù)據(jù)傳輸?shù)皆浦械乃蟹矫?����,例如在云平臺上處理��、存儲���、傳輸數(shù)據(jù)��,以確保這些事情的安全��。不同的云計算提供商對于用戶可以設置不同級別的控制和可見性����。人們可能看到很多關于研究人員發(fā)現(xiàn)Amazon S3存儲桶泄露的新聞。
這最終取決于將數(shù)據(jù)放入云中以確保安全的組織���。這是理解這一點的關鍵,因為它與任何其他計算機系統(tǒng)都沒有區(qū)別�。用戶需要負責數(shù)據(jù)的傳輸安全,硬盤存儲安全��,并牢記這些���,看看云計算提供商提供了哪些工具來更有效地保護這些東西���。
其訣竅在于,云計算提供商是否有義務告訴用戶����,他們的基礎設施中是否發(fā)生了不涉及直接破壞數(shù)據(jù)的事件?而且,他們的合同可能沒有這樣的義務��。這是否意味著在他們的基礎設施中的任何地方都沒有入侵者?
我要說的是,僅僅考慮到這些實體的龐大規(guī)模����,它們在某個時候一定會遭到一些入侵。它只是不一定達到這個閾值����,并通知受害者。而且這些云計算提供商確實有很強的動力來維持其基礎設施的高安全標準�。
因為這一切都是為了企業(yè)的信譽。如果AWS公司表示他們的云平臺有漏洞�,然后說這么做是出于非常謹慎的考慮,他們決定要比其他提供商都更主動�����,所有其他競爭對手都會說����,‘用戶還是采用我們的云平臺,因為AWS云平臺有漏洞�。’因此����,存在一些市場激勵措施���,可能會促使服務提供商對此有所分歧。但總的來說�,我看到他們所有人都堅定地承諾保護他們的基礎設施?���!?
2. 為什么專注于特定于云計算的網絡安全是一個錯誤?
Hallenbeck說,“現(xiàn)實是大多數(shù)組織仍然采用混合部署的基礎設施�。它們在一段時間內仍將是混合的,這意味著它們具有一定數(shù)量的數(shù)據(jù)在內部部署數(shù)據(jù)中心處理�����,它們在云平臺中的數(shù)量越來越大���,并且數(shù)據(jù)經常在這些環(huán)境之間流動。
因此���,人們必須了解這些情況�����,并且不會這樣說����,‘我們要采用云計算戰(zhàn)略,因此���,我不必擔心或專注于為數(shù)據(jù)進行安全性保護�?����!@些數(shù)據(jù)將會存在很長一段時間��。這是巨大的機會損失��,因為用戶沒有重新分析正在處理的數(shù)據(jù)類型���,如何保護它們���,并可能重新構建它們,以利用云計算提供的功能更好�����、更有效�����,更安全地處理它們。如果所要做的只是移動數(shù)據(jù)�����,那么就將過去的決定帶到了新事物上�����。
因此����,看到許多企業(yè)首先使用云計算技術的原因,這只是意味著���,作為一個新項目,正在考慮一種新的服務產品�,請立即將其放在云平臺中而不是在內部部署數(shù)據(jù)中心構建,然后再考慮遷移�。通過深思熟慮的遷移計劃,可以將舊內容以新形式遷移到云平臺中�。”
3. 在云中托管可見性如何?然后定義托管可見性
Hallenbeck說����,“需要知道這些云計算環(huán)境中存在什么���。例如考慮可以多快地在云平臺中啟動資源,只需單擊幾下鍵盤���,也許在一兩分鐘之后���,就可以使用云計算資源。現(xiàn)在����,當用戶執(zhí)行此操作時,無法了解所生成的內容��。因為它很容易打開�,所以很容易有人忘記將它關閉。
而且����,用戶在虛擬化環(huán)境中的部署時間最長。在過去的日子里��,需要購買物理硬件�,必須削減采購訂單��,將其裝運���,有人接收,并在上面貼上條形碼���,然后將其數(shù)據(jù)輸入到資產管理數(shù)據(jù)庫中��,然后將其放入數(shù)據(jù)中心的機架中��,所有這些步驟使人們可以從訂購開始到整個過程的結束進行跟蹤��。
然后����,在內部部署數(shù)據(jù)中心實施虛擬化���,開始使虛擬機得以激增����,這毫不費力地啟動某些事情�����,而事實上��,云計算使它幾乎變得更容易實現(xiàn)����。在內部部署數(shù)據(jù)中心,用戶仍然擁有固定數(shù)量的CPU�����,因此可能會超額訂閱�,并開始注意到也許用戶正在不斷擴展的云平臺中獲得一些技巧。
它可以擴展以滿足用戶需求��。因此��,需要知道那里有什么以及實際使用的頻率��。能夠跟蹤這些事物顯然具有成本優(yōu)勢�����,但是從安全角度來看�����,用戶仍然有責任修補那些在云計算基礎設施之上的系統(tǒng)。因此����,用戶仍然需要知道它們的存在以及它們當前的補丁級別?���!?
4. 如何減少云安全中的人為錯誤因素?
Hallenbeck說,“因此�,許多云計算基礎設施都提供了自動化功能。因此�,當用戶啟動一個新資源時,實際上可以構建一個模板�,并且始終如一,當用戶創(chuàng)建一個新的資源時��,它已經按照其標準建立了�。這樣就輕松多了。從理論上講����,像容器這樣的東西會讓事情變得更容易。
這是一個有趣的領域�,我看到很多企業(yè)陷入了陷阱。他們認為容器是解決補丁程序管理或其他問題的一種解決方案,因為����,一旦運行一個新的容器��,就將提供最新和最偉大的東西���。容器是一個非常短暫的東西�,它會很快運行����,也會根據(jù)需求迅速關閉。
事實上�,我看到很多組織都在這樣做,它們幾乎像普通的虛擬機一樣運行起來����,它們可能會持續(xù)數(shù)小時、數(shù)天或數(shù)月�����。因此����,通過容器工作的一些潛在好處并不一定能實現(xiàn)�?��!?
5. 構建云模板如何幫助云安全?您對云安全的未來發(fā)展有何看法?
Hallenbeck 說��,“模板化就是一切���。只要用戶具有一致的配置,就可以處于更好的狀態(tài)����,然后還可以在不同的提供程序之間進行切換。如果做對了�,并且可以導出這些模板,則可以在不同的提供程序之間移動����,并且仍然可以使用相同的基本配置。
就未來的發(fā)展而言����,我們看到了更多的靜態(tài)數(shù)據(jù)加密能力。諸如此類的事情變得越來越容易��。我認為我們已經看到提供商開始引入更多的安全性功能,但隨后就像在其管理用戶界面中的某個運行狀況檢查選項一樣執(zhí)行此操作���,如果啟用這些功能可能會更安全���。
因此����,最初的幾次迭代主要是根據(jù)需求添加功能,然后云計算提供商說����,‘無論需求如何,都需要添加這些其他功能��?!缓螅F(xiàn)在人們意識到�����,不確定這些功能是否存在�,或者為什么需要啟用它們,所以必須有一種識別它的方法�。
現(xiàn)在更多的是�,確實需要生產它們并逐步實現(xiàn)這些功能����。在這些配置中,在默認情況下將使人們進入越來越安全的狀態(tài)�,這將是持續(xù)的改進。
在某些情況下�����,不能像靜態(tài)數(shù)據(jù)中的某些加密一樣只是打開它們���,在某些方面�,或者一個很好的例子實際上是數(shù)據(jù)庫中的原始級加密�����。用戶必須構建程序來實際利用這些功能��,但是必須知道該功能存在���,并且必須提示使用它�����。而且我認為提供商在推出此功能方面將會做得更好��?�!?
|
