對于越來越多的企業(yè)而言,IT環(huán)境包含公共云服務、私有云和本地基礎設施的混合體,而后者在混合體中所占的比例越來越小。
在過去的兩年里,云服務的使用出現(xiàn)了大幅上升,而且這一趨勢沒有放緩的跡象。研究公司Gartner 2021年4月的一份報告預測,一年內(nèi)全球公共云服務支出將增長23%。
容器化、虛擬化和邊緣計算等新興技術(shù)正變得越來越主流并推動云支出,軟件即服務(SaaS)仍然是最大的細分市場。
比起部署一種類型的云服務,公司更傾向于選擇一種混合的云服務來實現(xiàn)他們的業(yè)務目標?;旌显颇P涂梢詾槠髽I(yè)提供前所未有的靈活性。他們可以根據(jù)需要提高或降低容量,并將數(shù)據(jù)和工作負載轉(zhuǎn)移到任意數(shù)量的云服務或從云服務中轉(zhuǎn)移?;旌显七€存在網(wǎng)絡安全風險,如果不加以解決,可能會導致重大損失。
以下是安全團隊在混合云模型中面臨的五個最大挑戰(zhàn)以及他們?nèi)绾谓鉀Q這些挑戰(zhàn)。
1、復雜性增加,可見性降低
隨著企業(yè)部署更多公共云服務并添加私有云功能,從管理和安全的角度來看,它們的IT環(huán)境變得更加復雜。如果不采取措施監(jiān)控服務的使用情況,它們就會失去對該環(huán)境中正在發(fā)生的事情的可見性。
混合環(huán)境自然會引入更多復雜性,世界上已經(jīng)出現(xiàn)了很多備受矚目的媒體報道,這些報道都是關(guān)于人為錯誤(例如)公共云上的存儲桶配置錯誤導致的數(shù)據(jù)泄露。
云安全聯(lián)盟(CSA)是一個定義標準、認證和最佳實踐以幫助確云計算環(huán)境安全的組織,該組織指出,錯誤配置和不充分的變更控制以及有限的云使用可見性是云計算面臨的主要威脅之一。
云服務的優(yōu)勢通常需要改變企業(yè)處理安全性的方式。雖然選擇混合云環(huán)境可以為組織提供選擇和靈活性,但這也意味著IT團隊需要重新評估他們的安全實踐并考慮如何對其進行調(diào)整,“你無法保護你看不到的東西”這句話在混合云架構(gòu)中尤其適用。
混合公共云和私有云或基礎設施會增加復雜性并增加企業(yè)面臨的風險,提高可見性和控制對于保護分布式系統(tǒng)至關(guān)重要。
2、知識和技能差距
企業(yè)網(wǎng)絡安全技能的嚴重短缺已成為普遍現(xiàn)象。許多企業(yè)都在努力尋找能夠勝任其工作的的員工,但是識別和雇用同樣了解云的安全專業(yè)人員將挑戰(zhàn)提升到一個全新的水平。這種云安全知識差距可能會讓企業(yè)面臨風險,他們需要盡快找到縮小差距的方法。
其中一種方法是提供內(nèi)部和外部培訓。這需要業(yè)務線、網(wǎng)絡安全領導層和團隊、培訓和人力資源部門齊心協(xié)力,開發(fā)課程和多模式培訓路徑,實現(xiàn)持續(xù)技能增長,以支持復雜的混合云環(huán)境。
值得注意的是,大多數(shù)非技術(shù)組織和非云服務提供商都在爭奪相同的云人才庫。因此,招聘是一項挑戰(zhàn),企業(yè)不應只把它作為一種選擇。制定培訓計劃以提高現(xiàn)有員工的技能可以在這方面提供幫助。
強有力的治理是混合云環(huán)境中的另一個關(guān)鍵組成部分。擁有明確定義的責任矩陣和運營模型可以減輕擔憂并實現(xiàn)有效治理。監(jiān)控指標提供了對各種安全團隊的效力和實施控制的有效性的可見性。
首席信息安全官和其他安全領導者需要考慮其人力資源和技能使用的效率。在混合云環(huán)境中,安全團隊可能需要了解兩個(或更多)云服務的安全功能。
3、轉(zhuǎn)移安全責任
因為圍繞周邊安全、基礎設施和虛擬化實施控制的責任逐漸轉(zhuǎn)移到公共云生態(tài)系統(tǒng)中的云提供商身上,所以了解不斷變化的安全責任共擔模型至關(guān)重要。
部分企業(yè)試圖將私有云安全控制和技術(shù)堆棧擴展到公共云,這在某些情況下不起作用,在混合云生態(tài)系統(tǒng)中如果沒有明確定義的責任分配矩陣和運營模型,就會給無法緩解的威脅和無法解決的功能留下空間,從而阻礙企業(yè)擴展和實現(xiàn)業(yè)務目標。
盡管了解并遵循使用云服務所帶來的責任共擔模型很重要,但并不是所有公司都能做到。公有云公司使用的責任共擔模型是許多企業(yè)仍需關(guān)注的首要任務。
4、網(wǎng)絡保護不匹配
網(wǎng)絡安全是企業(yè)持續(xù)面臨挑戰(zhàn)的一個關(guān)鍵領域,因為支持私有云的現(xiàn)有供應商工具可能不適合公共云。
企業(yè)利用容器實現(xiàn)跨混合云的無縫過渡和管理,而不了解服務網(wǎng)格和API安全等細微差別可能導致容器的潛在危害和進一步開發(fā)。
大多數(shù)基于公共云的安全工具供應商都支持私有云環(huán)境,但是,為本地或私有云構(gòu)建的傳統(tǒng)供應商工具可能無法擴展或為公共云提供完整的功能。供應商分析是關(guān)鍵,應在確定所有需求和用例后執(zhí)行。
5、分散的日志記錄和監(jiān)控功能
在混合云環(huán)境中,日志源分布在本地系統(tǒng)、公共云系統(tǒng)、供應商工具和云原生服務中,識別日志遙測并建立監(jiān)控指標至關(guān)重要。企業(yè)需要關(guān)鍵績效指標用于運營和功能層面的度量,需要關(guān)鍵風險指標用于執(zhí)行報告。
然而,日志記錄和監(jiān)控功能的成熟需要一到兩年的時間,這需要許多步驟和工具來處理日志并跨多個來源進行關(guān)聯(lián)以達到定義的指標。最終目標是開發(fā)自定義報告儀表板,以滿足企業(yè)管理者的需求,幫助他們了解云服務的剩余風險和影響。同時,運營團隊也可以全面了解整個環(huán)境中的高級持續(xù)威脅。