很多企业在转向多云部署时,经常会遇到安全问题,所以对于多云部署,需要优先考虑多云安全领域的一些考虑降低风险。1.身份验证和授权首先,重要的是要找到可以支持各种云计算提供商采用的不同模型的身份验证和授权,并且理想地与任何一种特定模型解耦。不同的应用程序组件也可能在应用程序的整个生命周期中移动,并且能够根据应用程序的需要而不是仅在特定时间运行的地方进行应用,这意味着业务设计自己的需求而不是提供的任何特定云提供商基础设施。2.工作负载的新鲜度无论企业运行的是裸机工作负载、虚拟机(VM)、容器还是无服务器,都需要确保其工作负载是“最新的”。换句话说,他们正在使用任何可用的相关库、中间件或可执行文件。对于某些工作负载,这意味着就地升级或打补丁,对于其他工作负载,使用新映像重新启动工作负载,对于其他工作负载,这将再次意味着检查和重新加载最近的依赖项。因此,企业需要承担更多责任,以确保其应用程序免受所有级别和可能的基础架构漏洞的影响。3.应用加固除了打补丁和升级,企业还需要保证自己的应用能够抵御网络攻击。对于组件和应用程序跨多个云的部署,或者跨多个云的应用程序相互通信,在静态环境中追踪这些漏洞的难度将比以前更加复杂。企业需要知道哪些API被公开,对它们实施了哪些控制,以及在发生攻击时可以应用的缓解措施,这些都是需要仔细考虑的问题。4.监控监控是多云可以发挥作用的最明显的领域之一。虽然企业过去可能依赖于特定云提供商的工具,或者使用仅限本地的解决方案,但现在任何监控都需要对企业的部署范围有很好的了解。此外,理想情况下,它能够补充和集成更广泛环境中可用的工具。确保企业对数据有一致和新鲜的看法是至关重要的,因为数据集不匹配或过时,企业会发现在攻击进来时处理它们或稍后对其进行分析的能力较差。5.存储存储总是很棘手,在多云部署中,复杂性很高,因为这是一个维护兼容性可能很复杂的领域,加密秘密的密钥管理至少与存储解决方案本身一样重要,无论如何,组织需要从一开始就设计安全的存储。6.控制平面这是指控制应用程序或它们如何运行的通信:例如,企业可能正在使用OpenShift来控制容器和虚拟机。当然,所有与调度、监控或路由应用程序的通信都应该加密。同样,所有云服务提供商都应提供对其所有工具的加密访问,但应用程序管理、日志记录和审计功能的安全性同样重要。7.机密计算历史上,人们一直关注存储设备中的静态数据和网络中传输的数据的安全性,但数据还有第三种状态:使用中。某些类型的数据是敏感的,因此企业应仔细考虑他们希望在何处处理这些数据。当然,业内人士也越来越意识到,人们需要借助新技术来保护使用中的数据。例如,Linux基金会在该领域创建了一个社区来研究和构建解决方案,称为机密计算联盟。目前,这项技术比较新,值得关注。
