混合云安全性是对与IT架构关联的数据,应用程序和基础架构的保护,该架构在多个IT环境(包括至少一个公共或私有云)中整合了一定程度的工作负载可移植性,编排和管理 。
混合云提供了减少数据潜在暴露的机会。您可以将敏感或关键数据保留在公共云之外,同时仍可以利用云来获取与之没有相同风险的数据。
为什么选择混合云以增强安全性?
混合云使企业可以根据合规性,审计,策略或安全性要求选择将工作负载和数据放置在何处。
虽然组成混合云的各种环境保持唯一且独立的实体,但它们之间的迁移是通过有助于传输资源和工作负载的容器或加密的应用程序编程接口(API)来实现的。这种独立的,但仍相互连接的体系结构使企业可以在私有云中运行关键工作负载,在公共云中运行不太敏感的工作负载。这种安排可以很大程度地减少数据泄露,并允许企业自定义灵活的IT产品组合。
混合云安全性面临哪些挑战?
保护您的数据
通过加密限制组织的数据公开。相同的数据将在途中或在不同的时间处于静止状态。您需要各种安全性来限制这两种状态下的数据公开。
合规与治理
如果您在医疗,金融或政府等高度管制的部门工作,则混合云基础架构可能会带来其他注意事项。知道如何检查分布式环境以确保它们符合要求;如何实施自定义或监管安全基准;以及如何准备安全审核。
供应链中的安全
混合云环境通常包括来自复杂生态系统中多家供应商的产品和软件。了解您的供应商如何测试和管理他们的软件和产品。了解供应商何时,如何检查源代码,遵循方式以及遵循哪些实施准则,以及供应商如何以及何时提供更新和补丁。
混合云安全性的组成部分
与一般的计算机安全性一样,混合云安全性由三个组件组成:物理,技术和管理。
物理控件用于保护您的实际硬件。示例包括锁,防护装置和安全摄像机。
技术控制是IT系统本身设计的保护措施,例如加密,网络身份验证和管理软件。混合云的许多比较强大的安全工具是技术控件。
最后,行政控制是旨在帮助人们以增强安全性的方式行动的程序,例如培训和灾难规划。
混合云安全性的物理控制
混合云可以跨越多个位置,这使物理安全成为一个特殊的挑战。您无法在所有机器周围建立边界并锁上门。
对于公共云之类的共享资源,您可能与您的云提供商签订了服务水平协议(SLA),用于定义将要满足的物理安全标准。例如,一些公共云提供商与政府客户进行了安排,以限制哪些人员可以访问物理硬件。
但是,即使有了良好的SLA,您在依靠公共云提供商时也会放弃一定程度的控制。这意味着其他安全控制变得更加重要。
混合云安全性的技术控制
技术控制是混合云安全性的核心。混合云的集中管理使技术控制更易于实施。
混合云工具箱中一些比较强大的技术控件是加密,自动化,编排,访问控制和端点安全性。
加密
加密极大地降低了即使物理计算机受到威胁也暴露任何可读数据的风险。
您可以加密静态数据和动态数据。就是这样:
保护您的静态数据:
- 全盘(分区加密)可在计算机关闭时保护您的数据。尝试使用Linux磁盘上统一密钥设置(LUSK)格式,该格式可以批量加密硬盘驱动器分区。
- 硬件加密将保护硬盘驱动器免受未经授权的访问。尝试使用可信平台模块(TPM),这是一种存储加密密钥的硬件芯片。启用TPM后,硬盘驱动器将被锁定,直到用户可以验证其登录名。
- 无需手动输入密码即可加密根卷。如果您构建了高度自动化的云环境,请在此基础上进行自动加密。如果您使用的是Linux,请尝试在物理和虚拟机上均可使用的网络绑定磁盘加密(NBDE)。奖励:使TPM成为NBDE的一部分,并提供两层安全性(NMDE将帮助保护网络环境,而TPM将在本地工作)。
保护动态数据:
- 加密您的网络会话。运动中的数据被截取和更改的风险要高得多。请尝试Internet协议安全性(IPsec),它是使用加密技术的Internet协议的扩展。
- 选择已经实现安全标准的产品。寻找支持联邦信息处理标准(FIPS)出版物140-2的产品,该出版物使用加密模块来保护高风险数据。
自动化
要了解为什么自动化自然适用于混合云,请考虑手动监视和修补的缺点。
手动监视安全性和合规性通常带来的风险大于回报。手动补丁和配置管理存在异步实施的风险。这也使实施自助服务系统更加困难。如果存在安全漏洞,则手动修补程序和配置的记录可能会丢失,并可能导致团队争斗和指责。此外,手动过程往往更容易出错,并且花费更多时间。
相比之下,自动化使您能够领先于风险,而不是对风险做出反应。自动化使您能够设置规则,共享和验证流程,最终使通过安全审核更加容易。在评估混合云环境时,请考虑自动化以下过程:
- 监视您的环境。
- 检查合规性。
- 实施补丁。
- 实施自定义或监管安全基准。
编排
云编排更进一步。您可以将自动化定义为特定的成分,将业务流程视为将这些成分整合在一起的食谱食谱。
通过编排,可以将云资源及其软件组件作为一个整体进行管理,然后通过模板以自动化,可重复的方式部署它们。
编排对安全性的比较大的好处是标准化。您可以提供云的灵活性,同时仍可确保部署的系统符合安全性和合规性标准。
访问控制
混合云还取决于访问控制。将用户帐户限制为仅他们需要的特权,并考虑要求两因素身份验证。限制对连接到虚拟专用网络(VPN)的用户的访问也可以帮助您维护安全标准。
端点安全
端点安全性通常意味着如果用户的智能手机,平板电脑或计算机丢失,被盗或被黑客入侵,则使用软件来远程撤消访问或擦除敏感数据。
用户可以从任何地方使用个人设备连接到混合云,从而使端点安全成为必不可少的控制。攻击者可能利用针对个人用户的网络钓鱼攻击和危害个人设备的恶意软件来针对您的系统。
我们在此处将其列为技术控制,但是端点安全性结合了物理,技术和管理控制:保持物理设备的安全,使用技术控制来限制设备落入不当时手的风险,并培训用户良好的安全实践。
混合云安全性的管理控制
最后,实施混合云安全性高的管理控制以解决人为因素。由于混合云环境是高度连接的,因此安全是每个用户的责任。
灾难准备和恢复是管理控制的一个例子。如果您的混合云的一部分被关闭,那么谁负责什么动作呢?您是否有用于数据恢复的协议?
混合体系结构为管理安全性提供了显着的优势。由于您的资源可能会分布在现场和非现场硬件之间,因此您可以选择进行备份和冗余。在涉及公共云和私有云的混合云中,如果私有数据中心云上的系统发生故障,则可以故障转移到公共云。
它的安全性不会一次全部发生
IT安全需要时间,并且需要迭代。安全形势总是在变化。与其给自己施加压力,以使其达到完美的安全状态(不存在),不如将一只脚放在另一只脚上,并采取合理的,经过深思熟虑的动作,以使您今天比以前更安全。