当前位置: 首页 > 科技观察

多云安全应关注架构和治理

时间:2023-03-14 00:38:37 科技观察

富士通荷兰分公司多云与应用服务总监兼企业安全架构师JeroenMulder解释了为什么组织采用的多云安全架构规划应从视角出发的业务和客户和分析。他认为,建立多云环境需要像使用新智能手机一样进行重新配置。他说:“当我把新手机从盒子里拿出来时,它几乎不能用。要使用它,它首先必须连接到互联网。然后需要下载应用程序,以及数据(如联系人或照片))需要下载。以个性化他们的应用程序。最后,启用面部识别和其他功能,并采取措施确保没有其他人可以使用它。”Mulder说多云的概念也是如此。在多个平台上运行复杂的环境需要针对连接性、应用程序、数据存储和安全性的综合策略。在他的书《多云架构和治理》中,Mulder解释了企业架构知识对于根据业务目标构建多云战略,以及为什么它是安全战略。Mulder详细介绍了成为企业架构师将如何影响安全方法,并为云计算和安全专业人员提供职业战略建议。他接受了行业媒体的采访并回答了提出的问题为什么要写多云架构及其治理的书Mulder:应用程序是云计算基础设施的基础,但目前很少有书籍描述如何在AWS、Azure或谷歌云平台上进行设置,或者不同的云平台怎么使用。所以决定自己写一个。我先比较一下三大公有云在世界上从技术基础上。我想从企业架构师的角度来思考,这促使我写了本书的第一部分,重点关注多云治理和架构。在考虑安全技术之前,需要考虑业务视角和架构框架,因此规划多云战略至关重要。人们对多云安全性最常见的误解是什么?Mulder:许多公司仍然认为,一旦他们进入混合云、公共云或多云操作环境,他们的工作负载就会默认受到保护,但事实显然并非如此。这些云平台唯一做的就是提供一个工具箱,用户可以使用它来保护他们的操作环境。这与组织在传统基础设施中保护工作负载的方式没有什么不同。组织不应假设他们可以阻止网络攻击者访问他们的系统。但是,在考虑不可避免的攻击时,组织可以计划如何响应以及如何在其运营中保护资产。例如,一旦数据落入攻击者手中,可以采取适当的措施使数据无法使用。在多云环境中保护外围资产尤为重要,因为组织并不总是能够完全了解资产。许多客户并不知道他们的服务遍布全球。这是因为云平台遍布全球,不再是组织的本地数据中心。企业如何解决和防止云蔓延?Mulder:云的蔓延增加了安全的复杂性。为防止蔓延,组织的最佳做法是将所有内容尽可能多地放在一个堆栈中,但这在多云世界中是不可能的。以智能手机为例:当人们打开手机时,他们正在使用来自谷歌、苹果、微软和世界各地其他公司的许多不同的应用程序,保护它们的安全取决于用户。确保安全是唯一有权访问手机的用户的责任,例如启用FaceID身份验证。多云安全最佳实践从资产和身份清单开始,了解组织系统中的人员及其原因。需要注意的是,识别可以应用于服务、应用程序、收集数据的API甚至软件。当组织将这些视为身份验证因素时,就更容易想到保护数据和应用程序的方法。企业架构师培训如何影响组织的多云安全方法?Mulder:组织需要学习如何构建他们的企业架构,因为多云安全不仅仅是一个技术问题。构建防火墙是一条安全捷径,但安全不是从防火墙开始,而是从治理开始。需要回答一系列问题,例如,谁有权访问什么系统?系统需要在何处以及在什么级别上得到保护?为什么?治理之后,再考虑数据,然后是应用程序,最后是技术。企业架构着眼于大局,并确定技术是否以及如何为组织增加价值。组织可以在云环境的任何部分构建更强大的虚拟防火墙以确保安全,但这样做可能会使其完全无法使用。组织必须在安全性和可用性之间保持平衡。在多云环境中工作时,哪些非技术技能很重要?Mulder:从治理的角度来看,耐心倾听客户的意见很重要。需要了解信誉是组织与客户建立关系的基础,因此要自信但不要自大。需要能够冷静地解释事情并准备好采用新的观点。在写这本书《多云架构和治理》的过程中,你学到了哪些有趣的事情呢?Mulder:我使用和研究过三大云平台——AWS、Azure、GCP。有趣的是,各种云平台之间有一些相似之处,也有一些截然不同的方面。在写这本书之前,我很了解AWS和Azure,但谷歌云平台(GCP)对我来说还是个新手。打开GoogleCloudPlatform从云计算控制台开始,而不是脚本或PowerShell。这很耗时,但为了写这本书,我不得不在控制台上做所有事情。起初,我觉得自己回到了10年前,当时我正在用Unix重新编程。但令我吃惊的是它的威力有多大。对我来说,这是一个重大发现,我可以在谷歌云平台上做一些我从未想过的事情。使用多云环境的安全架构师应该获得哪些认证?Mulder:毫无疑问,OpenGroupArchitectureFramework(TOGAF)应该是其中之一。建议安全架构师应该获得TOGAF认证以及安全认证。如果一个组织正在迁移到云中,那么从哪里开始并不重要。可以从AZ-900开始:AzureFundamentals或AWSBasicCertification。所有云采用框架都涵盖身份、安全、成本管理和治理。无论是AWS还是Azure还是谷歌云平台,云计算基础课程的唯一区别就是技术。它们可能看起来不同,但学习常见的公共云概念可以使组织能够在任一云计算环境中工作。