如何構建安全的企業混合雲?

danny_2018發表於2018-08-03

大概在幾年前,就有專家預言,企業一旦上雲,會率先採用私有云,然後在有需要的時候才會新增公有云。但是,幾年下來後,這樣的預言並沒有發生。事實證明,大多數企業正在以最快的速度投入到混合雲的洪流中。並且,這種發展趨勢越來越明顯。據Gartner預測,到2020年,會有90%的企業採用混合雲來提升企業的管理能力。當然,不管哪種趨勢能顛覆整個行業,都會存在相關的阻礙因素。當混合雲大軍開始了排山倒海式的轉型,安全威脅正如影隨形。

有資料顯示:在對250位混合雲安全負責人進行調研時,只有30%的專業人員使用的是跨內部和雲的統一安全工具。隨著AWS、Azure等企業雲服務能力的增強,大部分企業都會步入雲應用場景。作為企業的CIO或者CTO,我們如何有效監控企業雲環境?如何充分利用企業內部資源和外部可擴充套件的資源,儘快轉移到雲端?

為構建安全的混合雲環境,筆者根據行業資訊彙總了十大關鍵標準。
一、靈活性
構建混合雲環境,要充分考慮企業應用的便捷性和跨多個工作負載環境的能力,比如:IaaS、PaaS、本地化部署、虛擬環境,容器和FaaS等。對於大多數企業來說,擁有一個統一的監控平臺,不可或缺。在條件允許的情況下,企業在部署雲應用之初,就要採用具有一致性的工具或應用。這意味著,企業的混合雲環境從平臺架構開始。

二、可擴充套件性
對於開發人員來說,API是介面的最佳選擇,它可以把企業的系統應用,和外部的資料資源,以及開放專案平臺,有效對接。如身份認證、訪問管理、可插式身份驗證模組(PAM)、安全資訊和事件管理、使用者和實體行為分析、日誌記錄、威脅情報或桌面支援等。對於企業關鍵業務來說,一定要具有這種開箱即用的雲和API的互操性,這點非常重要。API還支援企業的持續整合,持續交付以及DevOps工具應用中。除此外,還包括映象、容器等。

三、響應能力
隨著企業安全意識的提升,如何以最短的時間、以最小化的解決方案實施,快速識別企業應用的任何動態變化,已成為企業當務之急。我們需要一個彈性的、可伸縮的、基於企業微服務架構的體系。並且,這種體系能更好地適用於容器以及基於功能的工作負載架構,不會出現處理器、記憶體、I/O等隨時會爆掉的現象。

四、深度發現能力
在企業雲環境下,必須要具備自動識別能力,以便於我們對現有工作負載、新工作負載以及跨多個雲環境的工作負載進行更改。並且,按功能給這些工作負載正確分組。另外,這種深度發現能力的構建要簡單。比如:我們可以利用現有的AuthN和AuthZ開放授權策略,避免每一次訪問都必須要重新建立一個特殊身份認證管理。
五、建立知識庫

雲平臺構建必須支援各種基準、框架和指南,以及基於工作負載型別建立自定義策略。而且,這些策略應該自適用於現有的和新的工作負載。知識庫的範圍要最大化擴充套件,包括作業系統、虛擬化和雲服務提供商等,設定涉及一些功能,比如:作業系統硬化、漏洞和補丁管理、配置管理和系統監控等。

六、跨基礎設施和實時風險評估能力
一旦發現應用啟動,資產就必須被計分。這種評分可以單獨進行,比如:可以跨越基礎設施的不同部分(如位置、子網、部門)、跨環境的工作負載型別(雲和內部)或應用程式(PCI、web)。評分必須按優先順序排序,必須能用於自動化的第三方工具整合,或者整合到現有的UI中。最重要的是,要相互關聯。例如,一個組織使用10臺Red Hat Enterprise Linux伺服器執行一個web伺服器叢集,並開始向雲過渡。在遷移過程中,有5個web伺服器位於Azure上,5個位於本地。按照PCI遵從性,所使用的工具必須在兩個環境中生成規範化的檢視。

七、容器(Docker)的支援

Docker技術的出現引起眾多企業使用者的關注。如果是在本地部署容器,或者作為雲部署的一部分去使用容器,我們需要確保工作負載是安全的。而且,如果我們引入映象,需要確保映象檔案沒有被損壞,上述六的很多功能在這裡也同樣適用。考察容器的安全性,我們要跨越整個生命週期,包括映象掃描、容器執行時的監視和編排層的安全性等。

八、雲安全態勢監控

工作負載保護與雲保護一樣重要。其中包括主要雲提供商提供的各種服務,如儲存、動態負載均衡、計算和流媒體服務等,雲體系結構必須實時監視和評估這些服務。最重要的是,檢視這些服務的安全性與關鍵工作負載的安全性之間的關係,而且必須關聯得分,整體反映出跨工作負載和雲的真正混合安全態勢。

九、靈活的雲定價模式

針對雲端計算或者雲端儲存的定價,我們需要採用靈活的定價模式,中間會涉及軟體即服務(SaaS)提供,以及連線平臺的後端到雲服務提供商的計費引擎,還要具有按分鐘計費的能力。或者,定價可以抽象,但仍然很靈活,這種模式類似於突發工作負載的概念,就好像手機供應商的滾動翻轉模型。無論哪種情況,都好過現有的靜態定價。

十、具備預測分析能力
在雲端構建一個預測性分析平臺,可讓企業實時預測變化的結果。在不斷變化的雲環境中,對配置和系統操作進行“假設”分析至關重要。我們可以透過API從第三方引入資料,也可以建立更相關的變更圖表,即我們常說的“虛擬白板”。
總之,雲安全無小事,尤其是混合雲架構,安全風險和事件是一個長期與之抗衡的過程。

 

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31547898/viewspace-2169069/,如需轉載,請註明出處,否則將追究法律責任。

相關文章