多云网络是由多个云服务供应商组成的云网络。一个简单的多云网络需要多个基础设施即服务(IaaS)供应商。
你可以同时使用AWS和Azure吗?
例如,你的部分云网络服务器和物理网络可能由Amazon Web Services (AWS)提供,但是你已经将这些与Microsoft Azure提供的服务器和物理网络集成到了一起。每个云服务供应商提供的产品和服务可能略有不同,你的组织机构可以通过这种方式充分利用双方的优势。
另一种类型的多云网络可能需要云供应商的软件即服务(SaaS)或平台即服务(PaaS),以及你自己的基础设施或其他供应商的IaaS。
无论你采用了哪种形式的多云网络,你都可以将一家公司提供的技术和服务与另一家公司提供的技术和服务结合在一起。这可能是满足组织机构独特的云网络需求比较有效的方法。
但是让所有这些不同的部分能够协同工作需要付出一些努力。为这样一个多样化的云网络部署合理的安全解决方案也是一个挑战。每个供应商都有自己的政策和网络安全措施。
但是,部署一个足够安全且合规的多云网络是有可能的。下面是八项你必须牢记的优秀实践指南。
多云安全优秀实践指南
1)了解共享模型的工作原理
确保你所在组织机构的业务伙伴和其他利益相关者,了解共享安全模型在你和你的云供应商那里的工作原理。
通常云供应商对他们自己基础设施的安全性负责,他们理应能为你所在的组织机构提供一些你需要的功能,以便能保护他们基础设施中你的数据。这些功能包括多因素身份验证、加密技术以及身份和访问管理。
你的组织机构通常将负责在基础设施中如何使用你的数据。你的组织机构开发或从第三方获得的任何软件都应该打补丁,并进行安全加固。
你的员工在使用数据时应遵守组织机构的信息安全策略。如何部署虚拟机和必要的安全控制措施完全取决于你自己。这些是你所在组织机构的责任。
2)选择合适的云供应商
你必须仔细选择你所有的云供应商。
阅读他们产品和服务具有的所有功能和特性,以及他们自己的网络安全政策。全面了解你现在部署的云的供应商以及将来可能合作的云供应商。
你的网络和安全人员以及与你的云一起工作的所有利益相关者,应该了解你合作供应商的服务细节,并参与选择云供应商的决策过程。
3)了解账户和部署区
在共享安全模型中履行你所在组织机构的职责,要求你了解帐户和部署区,在这些区域你需要可见性来监控漏洞。
有了这些了解,你就可以正确地部署IDS和IPS设备,并分析它们的日志,或者让一个值得信任的第三方为你处理这些日志,同时让你了解你的网络中发生了什么。
4)校准所有工具
彻底了解你的多云网络中的应用程序是如何工作的。确保云环境中的所有实体都能与各种云工具兼容。你的云应用程序的配置和部署是独特的,并且有其特定的安全需求。
5)安全加固应用程序
漏洞和风险(VnE)管理对于获取安全加固应用程序所需的数据至关重要。
你需要仔细考虑把它们放在哪里它们才能够有效地工作。你应该放在本地吗?它应该部署在你的某个云环境中吗?你是否需要在每个云环境都进行部署才能获得准确的数据?哪一种符合你的漏洞扫描需求?
6)必须远程扫描你的公共云
你必须能够远程扫描你的公共云,因为它们不在本地。在你的公共云环境中启用远程扫描设备分析器虚拟映像。
7)安全是一个过程,而不是一个产品
你必须定期评估多云网络的安全性,因为你的基础设施和软件将随着时间的推移而发生变化,网络威胁环境也是如此。安全测试人员提供的任何补救措施都应该被执行。正如Bruce Schneier说的,安全是一个过程,而不是一个产品!
8)监测变化
你还应该评估云服务本身的安全性。Tripwire的云管理评估器同时支持Amazon Web Services和Microsoft Azure。确保你对其技术的配置是安全的,并监控可能导致漏洞的变化。