信息化觀察網(wǎng)

越來越多的企業(yè)如今正在采用多云策略，但這將帶來他們無法預(yù)料的安全挑戰(zhàn)。為此，需要了解如何解決常見的多云安全策略問題。

通過采用正確的計劃，管理多云安全架構(gòu)將比許多人認(rèn)為得更加容易。制定云計算安全集成計劃必須克服某些挑戰(zhàn)。其中一個挑戰(zhàn)是建立一致的跨云安全策略，該策略不僅涵蓋初始部署，而且還涵蓋由可用安全工具和服務(wù)支持的安全策略的持續(xù)維護(hù)。

企業(yè)的業(yè)務(wù)在多云環(huán)境中工作時，可以在所有的公共云和私有云集中管理安全工具以及工具中創(chuàng)建的策略。然而，不能保證這些工具在第三方云計算基礎(chǔ)設(shè)施中是最佳的甚至可用的。因此，選擇符合企業(yè)內(nèi)部部署安全標(biāo)準(zhǔn)的工具和策略非常重要，并需要提供在每個云計算基礎(chǔ)設(shè)施中一致運行的靈活性。

多云架構(gòu)的集中可見性和監(jiān)視是另一個挑戰(zhàn)。根據(jù)業(yè)務(wù)所依賴的公共云和私有云，每種云平臺都將提供不同級別的可見性。此外，許多內(nèi)部部署工具可能無法提供其慣用的必要監(jiān)視級別。這種可見性的缺失將會造成漏洞，將給企業(yè)業(yè)務(wù)帶來威脅。

同樣，從網(wǎng)絡(luò)和安全角度來看，多云架構(gòu)將會增加復(fù)雜性?？赡軙l(fā)生安全策略和工具錯誤配置或誤讀。諸如多云管理或網(wǎng)絡(luò)覆蓋之類的現(xiàn)代平臺可以幫助減少在跨多個云計算基礎(chǔ)設(shè)施創(chuàng)建和推送安全策略時出現(xiàn)人為錯誤的機會，但是這些工具增加了復(fù)雜性，從而導(dǎo)致其他安全錯誤。最好的建議是企業(yè)在考慮與其計劃合作的云計算提供商時，需要正確評估所涉及的風(fēng)險，以及提供工作人員管理跨云平臺安全架構(gòu)的能力。

在多云環(huán)境中保持安全可見性

在多云環(huán)境中保持可見性是安全基礎(chǔ)設(shè)施架構(gòu)的關(guān)鍵部分。在理想情況下，可見性應(yīng)擴(kuò)展到網(wǎng)絡(luò)級別。有幾種工具(所有這些工具都可以集中管理)可用于提供多云的可見性。多年來，安全事件和事件管理(SIEM)工具提供了大部分可見性。但是，SIEM工具嚴(yán)重依賴于日志數(shù)據(jù)，這取決于云計算服務(wù)提供商的不同級別的粒度。因此，通過使用SIEM工具的可見性可能不會像某些人想象得那樣有效。

與其相反，網(wǎng)絡(luò)檢測和響應(yīng)(NDR)這個IT安全的新興領(lǐng)域可能更適合于在混合網(wǎng)絡(luò)和多云網(wǎng)絡(luò)之間提供必要的可見性。NDR通過從企業(yè)網(wǎng)絡(luò)中各個平臺(包括私有云和公共云)中提取網(wǎng)絡(luò)遙測數(shù)據(jù)來監(jiān)視流量。數(shù)據(jù)是從包括NetFlow、深度數(shù)據(jù)包檢查和其他流網(wǎng)絡(luò)遙測在內(nèi)的資源獲取的。然后將數(shù)據(jù)發(fā)送到分析工具，在分析工具中將數(shù)據(jù)解碼并整合在一起，以準(zhǔn)確了解網(wǎng)絡(luò)上的設(shè)備以及通話的對象。在完成之后，就會形成流量基線，并從安全角度分析流量，以識別流量模式異常、次優(yōu)性能指標(biāo)，以及與已知和未知威脅的匹配。

從多云可見性的角度嚴(yán)格來看，可以在IaaS云平臺中部署NDR平臺，以自動創(chuàng)建網(wǎng)絡(luò)可見性地圖，以識別所有網(wǎng)絡(luò)組件和連接的服務(wù)器設(shè)備。此外，該工具還顯示了服務(wù)器設(shè)備與其他設(shè)備之間的交互作用。這正是安全管理員所追求的細(xì)節(jié)級別，它的另一個優(yōu)勢是使用單一平臺在一個集中的平臺中監(jiān)控所有內(nèi)部部署和公共云資源。

組織應(yīng)如何應(yīng)對多云安全性?

多云安全的總體目標(biāo)是可以統(tǒng)一管理的統(tǒng)一的安全工具、流程和程序。對于收購其他公司的組織的IT人員來說，可能會對如何實現(xiàn)多云安全性有了一定的了解。例如，在收購方案中，被收購的企業(yè)可能具有自己的(可能與其他情況不同)網(wǎng)絡(luò)、服務(wù)器和應(yīng)用程序基礎(chǔ)設(shè)施，必須使用它們來適應(yīng)母公司的數(shù)據(jù)安全級別。因此，第一步是其工作人員確保完全了解要使用的新基礎(chǔ)設(shè)施。這項調(diào)查的結(jié)果將顯示新基礎(chǔ)設(shè)施與其現(xiàn)有的基礎(chǔ)設(shè)施之間的差距，這與檢查新的公共云架構(gòu)時采用的方法完全相同。

下一步是檢查組織的內(nèi)部安全工具、流程和管理程序，以查看其中哪些將輕松適合新的基礎(chǔ)設(shè)施，哪些將需要修改或放棄，以支持適用于多云平臺中所有的云計算環(huán)境。這可能會很棘手，但是如果愿意并且能夠進(jìn)行必要的更改以實現(xiàn)跨云安全一致性，仍然有可能實現(xiàn)。這可能意味著必須擺脫IT安全團(tuán)隊喜歡的工具和流程，而支持適用于所有環(huán)境的工具和流程。

對于具有大規(guī)模多云目標(biāo)的企業(yè)來說，通過人工實現(xiàn)多云安全性方法可能不是最有效的時間和資源的利用方式。在這種情況下，采用多云管理或網(wǎng)絡(luò)覆蓋平臺等工具可能更合適。這兩種多云管理技術(shù)可幫助管理員使用其所需的安全工具和流程，而無需考慮基礎(chǔ)設(shè)施是什么。盡管這可以顯著簡化跨云安全策略，但是需要注意，這是以增加管理、覆蓋成本和復(fù)雜性為代價的。但是，對于計劃在三個或更多私有云或公共云平臺運行的企業(yè)來說，從長期的角度來看，出現(xiàn)額外的成本和復(fù)雜性可能是合理的。