通过采用正确的计划,管理多云安全架构将比许多人认为得更加容易。制定云计算安全集成计划必须克服某些挑战。其中一个挑战是建立一致的跨云安全策略,该策略不仅涵盖初始部署,而且还涵盖由可用安全工具和服务支持的安全策略的持续维护。
企业的业务在多云环境中工作时,可以在所有的公共云和私有云集中管理安全工具以及工具中创建的策略。然而,不能保证这些工具在第三方云计算基础设施中是优秀的甚至可用的。因此,选择符合企业内部部署安全标准的工具和策略非常重要,并需要提供在每个云计算基础设施中一致运行的灵活性。
多云架构的集中可见性和监视是另一个挑战。根据业务所依赖的公共云和私有云,每种云平台都将提供不同级别的可见性。此外,许多内部部署工具可能无法提供其惯用的必要监视级别。这种可见性的缺失将会造成漏洞,将给企业业务带来威胁。
同样,从网络和安全角度来看,多云架构将会增加复杂性。可能会发生安全策略和工具错误配置或误读。诸如多云管理或网络覆盖之类的现代平台可以帮助减少在跨多个云计算基础设施创建和推送安全策略时出现人为错误的机会,但是这些工具增加了复杂性,从而导致其他安全错误。比较好的建议是企业在考虑与其计划合作的云计算提供商时,需要正确评估所涉及的风险,以及提供工作人员管理跨云平台安全架构的能力。
在多云环境中保持安全可见性
在多云环境中保持可见性是安全基础设施架构的关键部分。在理想情况下,可见性应扩展到网络级别。有几种工具(所有这些工具都可以集中管理)可用于提供多云的可见性。多年来,安全事件和事件管理(SIEM)工具提供了大部分可见性。但是,SIEM工具严重依赖于日志数据,这取决于云计算服务提供商的不同级别的粒度。因此,通过使用SIEM工具的可见性可能不会像某些人想象得那样有效。
与其相反,网络检测和响应(NDR)这个IT安全的新兴领域可能更适合于在混合网络和多云网络之间提供必要的可见性。NDR通过从企业网络中各个平台(包括私有云和公共云)中提取网络遥测数据来监视流量。数据是从包括NetFlow、深度数据包检查和其他流网络遥测在内的资源获取的。然后将数据发送到分析工具,在分析工具中将数据解码并整合在一起,以准确了解网络上的设备以及通话的对象。在完成之后,就会形成流量基线,并从安全角度分析流量,以识别流量模式异常、次优性能指标,以及与已知和未知威胁的匹配。
从多云可见性的角度严格来看,可以在IaaS云平台中部署NDR平台,以自动创建网络可见性地图,以识别所有网络组件和连接的服务器设备。此外,该工具还显示了服务器设备与其他设备之间的交互作用。这正是安全管理员所追求的细节级别,它的另一个优势是使用单一平台在一个集中的平台中监控所有内部部署和公共云资源。
组织应如何应对多云安全性?
多云安全的总体目标是可以统一管理的统一的安全工具、流程和程序。对于收购其他公司的组织的IT人员来说,可能会对如何实现多云安全性有了一定的了解。例如,在收购方案中,被收购的企业可能具有自己的(可能与其他情况不同)网络、服务器和应用程序基础设施,必须使用它们来适应母公司的数据安全级别。因此,第一步是其工作人员确保完全了解要使用的新基础设施。这项调查的结果将显示新基础设施与其现有的基础设施之间的差距,这与检查新的公共云架构时采用的方法完全相同。
下一步是检查组织的内部安全工具、流程和管理程序,以查看其中哪些将轻松适合新的基础设施,哪些将需要修改或放弃,以支持适用于多云平台中所有的云计算环境。这可能会很棘手,但是如果愿意并且能够进行必要的更改以实现跨云安全一致性,仍然有可能实现。这可能意味着必须摆脱IT安全团队喜欢的工具和流程,而支持适用于所有环境的工具和流程。
对于具有大规模多云目标的企业来说,通过人工实现多云安全性方法可能不是最有效的时间和资源的利用方式。在这种情况下,采用多云管理或网络覆盖平台等工具可能更合适。这两种多云管理技术可帮助管理员使用其所需的安全工具和流程,而无需考虑基础设施是什么。尽管这可以显著简化跨云安全策略,但是需要注意,这是以增加管理、覆盖成本和复杂性为代价的。但是,对于计划在三个或更多私有云或公共云平台运行的企业来说,从长期的角度来看,出现额外的成本和复杂性可能是合理的。