通過采用正確的計劃,管理多云安全架構將比許多人認為得更加容易。制定云計算安全集成計劃必須克服某些挑戰。其中一個挑戰是建立一致的跨云安全策略,該策略不僅涵蓋初始部署,而且還涵蓋由可用安全工具和服務支持的安全策略的持續維護。
企業的業務在多云環境中工作時,可以在所有的公共云和私有云集中管理安全工具以及工具中創建的策略。然而,不能保證這些工具在第三方云計算基礎設施中是優秀的甚至可用的。因此,選擇符合企業內部部署安全標準的工具和策略非常重要,并需要提供在每個云計算基礎設施中一致運行的靈活性。
多云架構的集中可見性和監視是另一個挑戰。根據業務所依賴的公共云和私有云,每種云平臺都將提供不同級別的可見性。此外,許多內部部署工具可能無法提供其慣用的必要監視級別。這種可見性的缺失將會造成漏洞,將給企業業務帶來威脅。
同樣,從網絡和安全角度來看,多云架構將會增加復雜性。可能會發生安全策略和工具錯誤配置或誤讀。諸如多云管理或網絡覆蓋之類的現代平臺可以幫助減少在跨多個云計算基礎設施創建和推送安全策略時出現人為錯誤的機會,但是這些工具增加了復雜性,從而導致其他安全錯誤。比較好的建議是企業在考慮與其計劃合作的云計算提供商時,需要正確評估所涉及的風險,以及提供工作人員管理跨云平臺安全架構的能力。
在多云環境中保持安全可見性
在多云環境中保持可見性是安全基礎設施架構的關鍵部分。在理想情況下,可見性應擴展到網絡級別。有幾種工具(所有這些工具都可以集中管理)可用于提供多云的可見性。多年來,安全事件和事件管理(SIEM)工具提供了大部分可見性。但是,SIEM工具嚴重依賴于日志數據,這取決于云計算服務提供商的不同級別的粒度。因此,通過使用SIEM工具的可見性可能不會像某些人想象得那樣有效。
與其相反,網絡檢測和響應(NDR)這個IT安全的新興領域可能更適合于在混合網絡和多云網絡之間提供必要的可見性。NDR通過從企業網絡中各個平臺(包括私有云和公共云)中提取網絡遙測數據來監視流量。數據是從包括NetFlow、深度數據包檢查和其他流網絡遙測在內的資源獲取的。然后將數據發送到分析工具,在分析工具中將數據解碼并整合在一起,以準確了解網絡上的設備以及通話的對象。在完成之后,就會形成流量基線,并從安全角度分析流量,以識別流量模式異常、次優性能指標,以及與已知和未知威脅的匹配。
從多云可見性的角度嚴格來看,可以在IaaS云平臺中部署NDR平臺,以自動創建網絡可見性地圖,以識別所有網絡組件和連接的服務器設備。此外,該工具還顯示了服務器設備與其他設備之間的交互作用。這正是安全管理員所追求的細節級別,它的另一個優勢是使用單一平臺在一個集中的平臺中監控所有內部部署和公共云資源。
組織應如何應對多云安全性?
多云安全的總體目標是可以統一管理的統一的安全工具、流程和程序。對于收購其他公司的組織的IT人員來說,可能會對如何實現多云安全性有了一定的了解。例如,在收購方案中,被收購的企業可能具有自己的(可能與其他情況不同)網絡、服務器和應用程序基礎設施,必須使用它們來適應母公司的數據安全級別。因此,第一步是其工作人員確保完全了解要使用的新基礎設施。這項調查的結果將顯示新基礎設施與其現有的基礎設施之間的差距,這與檢查新的公共云架構時采用的方法完全相同。
下一步是檢查組織的內部安全工具、流程和管理程序,以查看其中哪些將輕松適合新的基礎設施,哪些將需要修改或放棄,以支持適用于多云平臺中所有的云計算環境。這可能會很棘手,但是如果愿意并且能夠進行必要的更改以實現跨云安全一致性,仍然有可能實現。這可能意味著必須擺脫IT安全團隊喜歡的工具和流程,而支持適用于所有環境的工具和流程。
對于具有大規模多云目標的企業來說,通過人工實現多云安全性方法可能不是最有效的時間和資源的利用方式。在這種情況下,采用多云管理或網絡覆蓋平臺等工具可能更合適。這兩種多云管理技術可幫助管理員使用其所需的安全工具和流程,而無需考慮基礎設施是什么。盡管這可以顯著簡化跨云安全策略,但是需要注意,這是以增加管理、覆蓋成本和復雜性為代價的。但是,對于計劃在三個或更多私有云或公共云平臺運行的企業來說,從長期的角度來看,出現額外的成本和復雜性可能是合理的。
