保護(hù)云環(huán)境是一項(xiàng)挑戰(zhàn),而保護(hù)混合云環(huán)境則更加困難?;旌显凭哂懈嗟囊苿?dòng)部件和復(fù)雜性,因此企業(yè)必須構(gòu)建安全策略,既適用于內(nèi)部部署又可用于云系統(tǒng)。
在構(gòu)建和保護(hù)混合云時(shí),企業(yè)會(huì)遇到很多挑戰(zhàn),例如處理不同的組件和各種混合框架。為了應(yīng)對(duì)這些挑戰(zhàn),請(qǐng)查看這些混合云最佳做法和高級(jí)安全策略以保護(hù)你的環(huán)境。
混合云安全的挑戰(zhàn)
混合云模型很受歡迎,因?yàn)橥ㄟ^這種模型,企業(yè)可獲得靈活性和可擴(kuò)展性,還可優(yōu)化成本并提高可用性,同時(shí)保持對(duì)其基礎(chǔ)架構(gòu)的一定程度的控制。然而,混合兩種不同類型的環(huán)境會(huì)產(chǎn)生新的安全問題。出于以下幾個(gè)原因,混合云特別難以保護(hù):
(1)多個(gè)組件。混合云至少包含兩個(gè)組件:公共云和本地系統(tǒng)。這些組件被集成以形成一個(gè)環(huán)境。根據(jù)它們的來源,有些組件運(yùn)行在不同的基礎(chǔ)設(shè)施上,并通過不同的工具進(jìn)行管理。
(2)復(fù)雜性。由于其復(fù)雜性,混合云很難有效地檢測(cè)和修復(fù)安全威脅。當(dāng)風(fēng)險(xiǎn)出現(xiàn)時(shí),這是否會(huì)影響你的混合環(huán)境的公共云部分、私有組件或兩者皆有?答案并不總是很明確,這意味著企業(yè)需要投入時(shí)間和精力來尋找補(bǔ)救措施。
(3)物理安全責(zé)任。在公共云中,供應(yīng)商負(fù)責(zé)保護(hù)對(duì)基礎(chǔ)設(shè)施的物理訪問?;旌显频牟煌幵谟谒鼈儼镜鼗A(chǔ)設(shè)施。企業(yè)必須自己物理保護(hù)此基礎(chǔ)設(shè)施。
(4)不同的混合框架。為了部署和管理混合云,企業(yè)可以使用公共云供應(yīng)商框架,例如AWS Outposts、Azure Stack和Google Anthos。其他選項(xiàng)包括使用通用控制平面,例如Kubernetes,甚至構(gòu)建自定義控制平面。這些方法都有各自獨(dú)特的安全挑戰(zhàn)。這使得企業(yè)很難開發(fā)適用于每種類型的混合環(huán)境的標(biāo)準(zhǔn)安全最佳實(shí)踐集。
基本混合云安全優(yōu)秀做法
高級(jí)混合云安全策略
有些企業(yè)會(huì)想要更多的選擇和自定義。除了基本的最佳做法外,企業(yè)還可以選擇增加額外的安全級(jí)別以滿足其獨(dú)特的需求。具體來說,他們可以:
(1)選擇開放技術(shù)
一般來說,基于開放技術(shù)的混合云環(huán)境更容易觀察和管理。此類技術(shù)通常與基礎(chǔ)設(shè)施和工具無關(guān),這使得數(shù)據(jù)收集和分析變得更加容易。這些技術(shù)還使企業(yè)能夠靈活地選擇各種安全監(jiān)控和修復(fù)工具,以滿足不同需求。有了更多的選擇,IT團(tuán)隊(duì)可以構(gòu)建更加定制化的安全策略。
(2)部署統(tǒng)一安全管理
建立一套統(tǒng)一的安全標(biāo)準(zhǔn)和工具,你可以在混合環(huán)境中部署這些標(biāo)準(zhǔn)和工具。與使用不同策略保護(hù)混合環(huán)境的公共和私有組件相比,標(biāo)準(zhǔn)化可以減少疏忽。在實(shí)踐中,統(tǒng)一安全管理意味著使用簡(jiǎn)化任務(wù)和操作的策略,例如將單一身份和訪問管理框架應(yīng)用于整個(gè)混合環(huán)境。
(3)擁抱人工智能和自動(dòng)化
這里的重點(diǎn)是不要夸大人工智能檢測(cè)和解決每個(gè)安全風(fēng)險(xiǎn)的能力。但是,自動(dòng)化和人工智能工具可用于幫助發(fā)現(xiàn)復(fù)雜混合環(huán)境中的風(fēng)險(xiǎn)。例如,云數(shù)據(jù)丟失防護(hù)工具可以自動(dòng)發(fā)現(xiàn)敏感數(shù)據(jù)。這些數(shù)據(jù)可能隱藏在你的混合環(huán)境中你不會(huì)手動(dòng)檢查的地方。
(4)備份數(shù)據(jù)
對(duì)于防范勒索軟件等攻擊,數(shù)據(jù)備份至關(guān)重要。但請(qǐng)確保將備份存儲(chǔ)在混合環(huán)境之外的地方。在混合云中運(yùn)行的資源不應(yīng)能夠訪問備份,無論它們位于何處。如果將備份存儲(chǔ)在混合環(huán)境,當(dāng)攻擊者破壞環(huán)境時(shí),也可能破壞備份數(shù)據(jù)。