【51CTO.com快译】AWS长期统治着云业务领域,但考虑到愈发复杂的具体业务需求(包括管理风险与成本等因素),企业客户通常有必要同时选择多家云服务供应商。另外,多家云服务商相配合往往能够带来最理想的整体云成本水平。
但在运行多云环境并享受相关优势的同时,我们也有必要采取适当的安全措施以实现保障能力。下面,我们首先从三大公有云巨头入手,逐步开启今天的议题。
公有云市场三大巨头
目前公有云市场由三大巨头把持,分别为AWS、微软Azure以及Google Cloud Platform。AWS参与最早且份额最高(达57%),微软份额为34%,而谷歌则把持着15%。
运行在多云环境下实现安全保障
1. 避免Shadow Ops
只有企业内各个部门都认同多云环境带来的收益,才能真正发挥积极作用。然而,您可能面对着大量分散在AWS、Azure以及谷歌平台中的实例,并由DevOps团队负责根据具体情况对其加以使用。
在这种情况下,企业的安全性显然将受到严重影响。根据Gartner在2017年安全与风险管理峰会上得出的结论,到2020年,将有三分之一企业的IT资源遭遇攻击影响。因此,无论您所在的企业决定选用单一云供应商还是分散式基础设施,请确保每位成员都了解相关实例以及对应的安全最佳实践。这是解决Shadow Ops难题并提升整体安全水平的唯一途径。
2. 优先实现可见性
无论选择怎样的云平台,您都应确保对全部实例拥有可见能力。在理想情况下,您应对具体可见性进行优先级排序,并将其引入工作负载层。
单纯依靠基于签名的监控机制还远远不够,我们应当专注于通过基于行为型监控提升可见能力。具体来讲,我们应在全部实例当中引入行为监控手段,以快速发现异常行为。
您的安全解决方案应具备以下能力:
识别不受信的系统修改。
通过用户及进程行为监控捕捉威胁活动。
立即检测异常的用户、进程与文件活动。
只要拥有这样完善的可见能力,那么具体使用AWS、Azure或是谷歌云将不再重要——您仍能够保障运行安全。
3. 遵循最佳实践
每种云平台都拥有自己的最佳实践。因此如果您计划在多种平台上运行实例,请确保遵循与之对应的最佳实践。尽管三大巨头皆提供有所差别的最佳实践清单,但其中仍存在着一些普适性的标准:
随时了解您的环境内正在发生什么。
设置警报(按严重性排序)以通知您与策略相冲突的行为。
满足并高于合规性要求。
保持良好习惯:及时更新并安装补丁。
云服务供应商进行最佳实践共享的作法值得提倡,因为他们比任何人都更了解自己的技术方案,有责任教育并支持客户。
4. 关注自动化
人总是会犯错,Gartner认为到2020年,95%的云安全事故都源自客户的错误。在安全方面,人为错误可能引发各类风险,而依靠机器自动执行常规重复性任务则能够有效提升安全水平——特别是在多云环境当中。
我们建议您利用自动化方案进行安全设计,具体指导方针包括:
更新您的云治理规则。
了解共同责任模式。
采取持续性风险治理方法。
云环境能够帮助您的DevOps团队实现工作提速,并凭借着持续集成与持续开发周期带来显著的竞争优势。然而,云环境同样有可能引发风险,因此您必须利用自动化方案有效管理一切安全最佳实践,进而将出现错误的可能性控制在最低水平。
5. 坚持共同责任模式
最后,请确保充分理解共同责任模式。具体来讲,尽管AWS、谷歌与微软肩负着保护云环境自身的责任,但作为客户的您则需要保证您的应用程序、数据以及其它存在于云环境内的系统得到充分保护。如果有人在无需权限的情况下登录生产环境并引发风险,那么这部分责任将完全由您承担。因此,请确保充分理解这种新的责任分摊方式,并坚持加以贯彻。
结语
毫无疑问,我们能够看到越来越多的企业立足云平台进行市场竞争,令人非常振奋。而且虽然AWS拥有明显优势,但多元化的云服务选项让企业客户迎来更加丰富的解决方案思路。
只要您始终高度关注安全最佳实践,同时采取措施以确保云环境的可见性,那么您将能够全面享受公有云带来的优势,且不会因任何潜在安全缺陷而导致业务受损。
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
