企业如何在采用多云平台服务时实现强安全?行业专家提供有关规划、可移植性、工具和其他关键多云安全注意事项建议的建议。Multicloud应该从一开始就明确企业的安全程序需要更新到这种现代IT范式。企业不再保护单一环境或网络,而是保护多个威胁面。采用多云并不是企业恐??慌的理由。相反,它推动将新工具和策略集成到企业的安全策略中,并加强一些现有流程。JuniperNetworks安全威胁实验室主任MounirHahad表示,“随着物联网、公有云和混合云的兴起,典型的网络边界被拉得越来越长,安全性开始下降。作为越来越多的企业正准备实施多云战略,确保跨不同环境的安全性至关重要。”随着多云环境成为常态,通常作为还包括本地基础设施的混合云架构的一部分,保护这些环境确实需要成为优先事项。Hahad和其他安全专家分享了一些在多云环境中确保企业安全的技巧。以下是增强安全性的8条策略:1.将多云安全作为首要考虑因素随着越来越多的企业采用多云战略,安全性需要成为这一深思熟虑的计划的早期组成部分。Hahad指出,从单一云平台迁移到多个云有一些重要的考虑因素,包括安全性。“例如,确保跨多个环境的安全性需要在每个云上运行的工作负载和应用程序之间实施一致的策略应用和执行,”Hahad说。在实施多云战略之前考虑安全性时,您可以尽早避免或解决潜在的不一致和互操作性问题。”但许多公司并没有这样做。例如,在最新一期的StackRox容器和Kubernetes安全状况报告中,34%的受访者表示他们没有容器安全策略,或者只是处于开发容器安全策略的初级阶段,即使云计算的突然增加也是如此采用(容器安全和多云安全并不完全是同义词,但它们越来越相互关联)。根据该报告,一种可能的解释是容器的采用超过了对开发安全策略的投资。2.将安全映射到当前和未来的用例运行多个云的原因与保护分布式环境的方法之间的脱节增加了薄弱环节的可能性。Stackrox联合创始人兼产品副总裁WeiLienDang表示:“企业有效保护多云环境的起点应该从理解为什么使用多云以及在其上运行的工作负载类型开始。每个云平台。这使安全从业者能够确定每个云平台需要哪些控制,以及这些要求可能有何不同,尤其是在共享责任模型的背景下。“此外,多云环境的本质意味着变化是既定的,这种灵活性可能是企业的要求之一。因此将其纳入企业的长期安全计划。”哈哈德说,“组织现在可能正在寻找特定的安全解决方案。”工作负载支持多云环境,但未来的用例会是什么样子?工作负载和应用程序要求会改变吗?预见到这些变化并为之做好准备的组织将拥有更强大的安全态势。3.为每个工作负载确定合适的云计算服务企业应该如何决定将工作负载放在哪里?他们应该如何保护?Bursell说:“如何为工作负载找到合适的归宿是IT主管非常关心的问题。Bursell建议组织首先考虑工作负载中涉及的特定数据和流程:例如,他们是否需要保护机密性、完整性、可用性、正确性或其他因素?Bursell说,“安全有一系列要求,从锁在房间里的安全到气隙系统,到部署武装警卫,再到采用商品化的公共云。例如,只有授权的安全检查员才能管理服务器等4.有效和高效地使用本机安全控制企业需要深入研究其提供商提供的嵌入式安全控制和工具。评估默认启用或云计算提供商本机提供的安全功能,Dang说,someExamples包括数据加密,通过VPC进行虚拟隔离可以为这些环境提供基础安全。另一个很好的例子是ident身份与安全断言标记语言(SAML)联合,这是一种使IT团队能够管理多个身份风险业务的环境的策略。NetEnrich的云计算架构师MichaelBurch说:“大多数公共云提供商支持SAML进行身份联合,允许用户帐户在提供商之间单独表示。”在非联合环境中手动复制身份很复杂,需要维护多个身份,这会带来重大风险。SAS首席信息安全官BrianWilson指出了身份联合在评估云平台时的重要性。他说,“如果企业不采用身份联合,那么安全厂商就不会与之合作。5.添加第三方工具以确保一致性安全专家表示,跨环境的一致性至关重要,尤其是随着企业系统的发展和变化。这可能需要第三方工具。Dang说:“在可用控制不同的地方,组织应该寻求第三方安全解决方案,以实现跨多云环境的执行、策略和流程的一致性。企业需要寻找这些解决方案来提供自动化和可编程性,使多6.考虑环境之间的可移植性这是一致性至关重要的另一个例子。AquaSecurity的联合创始人兼首席技术官AmirJerbi说,“多云安全的另一个关键方面是多云意味着组织希望能够在云平台之间移动工作负载,当这种情况发生时,不需要重新配置整个安全工具集。企业需要考虑的一个因素是云提供商特定的设置应该是尽可能通用以允许在云之间轻松转换。例如,采用基于角色的访问控制(RBAC)策略。Jerbi还从可移植性和安全性的角度来看,指出了多云设置中容器的另一个实用程序。“另一种方法是尽可能多地对工作负载进行安全控制,”他说。例如,运行容器的组织可以围绕容器镜像扫描、可信镜像策略和完全与云无关的运行时保护实施安全控制。7.将编排视为一种安全工具Dang指出,当团队开始在生产中部署容器时,编排可能不会落伍。虽然容器和Kubernetes安全本身就是一个热门话题,但Kubernetes和其他编排工具可以作为实现跨环境一致性的工具。Dang表示,“企业还应该考虑像Kubernetes这样的平台如何通过提供单一的、可扩展的架构来进一步增强多云安全性,应用程序可以在其上运行,从而更容易地对基础设施的关键部分实施单一的安全控制。”KirstenNewcomerRedHat的安全策略师,建议采用分层方法来实现容量安全。这包括容器堆栈层(例如容器主机和注册表)和容器生命周期问题(例如API管理)。8.不要在安全审计中偷工减料一些团队或个人可能过于信任他们的云提供商,但仅仅因为企业将工作负载转移到公共云并不意味着它不必对这些工作负载负责'安全的所有责任。信誉良好的提供商对其平台的安全性进行了大量投资,但这并不意味着企业不应该检查它们。例如,定期审计作为安全最佳实践的支持者Netenrich的Burch说,“云计算环境在这个过程中不应该是一个例外,如果企业还没有执行审计,那么所有的云计算环境都应该被审计”计算环境。”
