隨著CIO們采用了混合云策略，其中一些人快速地認(rèn)識到這些平臺環(huán)境需要一些新型的安全模型，或者至少在現(xiàn)有環(huán)境中應(yīng)用現(xiàn)有的控制措施和安全技術(shù)。大多數(shù)企業(yè)還發(fā)現(xiàn)，他們的環(huán)境并不是簡單的純粹私有云加公有云。原有的內(nèi)部部署系統(tǒng)，軟件即服務(wù)(SaaS)應(yīng)用以及基礎(chǔ)設(shè)施即服務(wù)(IaaS)都將在其中發(fā)揮作用。

用于保護公有云和私有云資源的安全工具可能仍然包括諸如防火墻、訪問控制和日志管理這樣基于邊界的控制措施，但是傳統(tǒng)IT安全措施的作用也就僅限于此了。 “完成工作的方法各不相同，從某種意義上說，西班牙與法國是不同的，”總部位于賓夕法尼亞州Blue Bell的一家全球IT服務(wù)廠商Unisys公司的首席信息安全官Dave Frymier說。“安全團隊將不得不學(xué)習(xí)新的語言，但是他們將做的風(fēng)險分析工作卻是與他們目前在企業(yè)內(nèi)部中做的是一樣的。”

諸如Unisys和ING(后者是一家總部位于阿姆斯特丹的全球性金融機構(gòu))這樣的企業(yè)正在使用混合云作為整合數(shù)據(jù)中心的一種方法。這樣做是有道理的：你不必提供前期資金來購置、安裝、運行你的服務(wù)器，你可以按需租用相關(guān)資源，并根據(jù)運營預(yù)算進行費用支付。

與進行實際的投資不同，你可以充分利用IaaS廠商的服務(wù)和專業(yè)知識，并只在實際需要時租用設(shè)備。“IaaS在主要云廠商的努力下已經(jīng)獲得了長足的進步和發(fā)展，它已不同于五年前最初的面向客戶的云了，”Frymier說。“我們現(xiàn)在擁有一個完全虛擬的基礎(chǔ)設(shè)施，可以將其用于安全環(huán)境的開發(fā)，而企業(yè)級服務(wù)所帶來的成本節(jié)省要高于之前的客戶版本。”

當(dāng)執(zhí)行整合任務(wù)時，可以集成相關(guān)的安全措施，這使得云具有了與傳統(tǒng)數(shù)據(jù)中心相同的安全級別。銀行業(yè)界已經(jīng)建立了他們自己的體系架構(gòu)和網(wǎng)絡(luò)標(biāo)準(zhǔn)，較早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就擔(dān)任了銀行業(yè)架構(gòu)網(wǎng)絡(luò)董事會的主席。其主要工作包括了在相應(yīng)安全等級的前期進行開發(fā)的實施指南。

[[151071]]

Richard Seroter

最好的策略包括：使用云-本地或云-第一的安全工具，而不是強迫無法轉(zhuǎn)化的傳統(tǒng)技術(shù)(例如防火墻或入侵防御設(shè)備)來負(fù)責(zé)內(nèi)部部署環(huán)境和基于云的環(huán)境。

無論你是遷移內(nèi)部資產(chǎn)，還是使用外部云服務(wù)，或者是集成私有云公有云和內(nèi)部部署服務(wù)器，這里有五個通用的策略，這是很多CIO們用于緩解安全性問題的良方：

1. 逐步提高用戶的受培訓(xùn)程度和加強與他們的溝通。如鴕鳥般把頭埋在沙子里并不是一個真正的好策略。“你總是需要站出來解決問題的，”世紀(jì)互聯(lián)技術(shù)解決方案公司產(chǎn)品副總裁Richard Seroter說。該公司在2013年收購了Web hosterSavvis，并向全球數(shù)據(jù)中心提供自助云服務(wù)或托管服務(wù)。

“只要用戶有一張信用卡，那么他就可以基于云在任何地方部署應(yīng)用，”他說。“與之前在項目結(jié)尾時出臺各種限制條件不同，我們應(yīng)學(xué)習(xí)如何在項目前期就與運營和用戶展開協(xié)作。”Seroter說，這種方法還有其他的一些好處：“安全性將成為我們向每一位客戶做簡報內(nèi)容的一部分，”他指出。“我們不會等待用戶向我們咨詢安全性方面的問題，而是應(yīng)盡量采用積極的方法，讓我們的客戶了解應(yīng)與我們共同承擔(dān)的責(zé)任——我們試圖通過盡可能坦率的對話來討論他們?nèi)绾伟踩卦L問他們的數(shù)據(jù)。”

你還必須注意潛在的法規(guī)和法律后果，并對你的員工開展培訓(xùn)。“我們云遷移戰(zhàn)略的一個關(guān)鍵部分就是與我們的法務(wù)部門協(xié)作來定義出一個新的信息安全框架，并于 2014年年初推出，”國際紅十字會和紅新月會的全球CIO Ed Happ說。在2013年，該組織擴大了其與微軟公司簽訂的協(xié)議，使得它在187個國家中的80個組織使用云服務(wù)，其中就包括了Microsoft Office 365。其目的就是為了騰出資源和節(jié)省開支，并通過為全球眾多小型國家組織提供相同的訪問工具而解決了數(shù)字鴻溝問題。

[[151072]]

Ed Happ

紅十字會在實際應(yīng)用中發(fā)現(xiàn)，該組織所擁有的九成半以上信息都是公開或內(nèi)部的，這些信息并不需要采用超出商用應(yīng)用所提供安全等級的安全措施。對于剩下的半成，Happ表示，紅十字會會把這類信息集中在它的內(nèi)部網(wǎng)中，從而幫助全球用戶實現(xiàn)工具與他們特定需求和信息安全要求的匹配。具體包括了培訓(xùn)視頻和其他關(guān)于如何確保應(yīng)用安全的應(yīng)用指南。

2.使用更強大的身份驗證方法來保護云訪問。當(dāng)僅僅只要一個用戶名和密碼就能夠任意使用你的所有資源時，采用多模式身份驗證方法(MFA)和單點登陸方法(SSO)就變得意義非凡了，它們可以更好地保護用戶的這些資產(chǎn)。SSO工具能夠更好地支持各種廣泛的基于云應(yīng)用和實施。通常情況下，這些產(chǎn)品提供了兩個 URL：一個供用戶進行應(yīng)用單點登陸的門戶頁面和一個供IT管理人員使用的管理門戶頁面。

目前，大多數(shù)SSO產(chǎn)品能夠?qū)崿F(xiàn)數(shù)以千計應(yīng)用的登陸自動化。一些SSO工具(例如SecureAuth、Okta、Ping和Centrify)可以針對特定應(yīng)用作為基于風(fēng)險身份驗證方法的一部分而指定MFA。這使得SSO成為了一個強大的保護工具，而且與依靠用戶選擇個人密碼相比，這也大大提升了登陸的安全性。這也意味著，IT部門可以在定義基于云的資產(chǎn)和匹配合適安全級別中發(fā)揮更重要的作用。

3. 開始使用加密的電子郵件和文件傳輸來保護您的通訊。當(dāng)您的大部分通訊都是通過互聯(lián)網(wǎng)進行時，您需要使用更好的方法來保護這些信息，而最好的方法就是使用加密的電子郵件和文件傳輸。如果您還沒有使用，那也沒關(guān)系，現(xiàn)在這兩種加密方法都是簡單易用的。

國際紅十字會正在使用一個零知識的電子郵件客戶端。這個客戶端使用了一個共享密碼來解密您的消息，并支持相關(guān)人士進行回復(fù)。在某些情況下，收信人只是通過一些鼠標(biāo)點擊操作就可以進行自我身份驗證來閱讀消息。在首次通訊之后，收信人就能夠與您相當(dāng)容易地交換加密消息。這樣就避免了必須預(yù)先選擇一個通用通訊工具進行安全消息的傳輸。紅十字會還使用了一個文件傳輸服務(wù)，該服務(wù)可對存儲狀態(tài)和傳輸狀態(tài)的文件進行加密。這兩種產(chǎn)品可用于需要進行高度敏感通訊的應(yīng)用，例如在不同管理委員會之間進行消息交換或其他更高級工作中的信息交換。

4. 實施更好的訪問角色定義以控制您的虛擬機(VM)。隨著用戶部署越來越多的虛擬基礎(chǔ)設(shè)施，您需要加強保護措施以保護用戶對虛擬機的訪問。諸如 HyTrust和Catbird這樣的產(chǎn)品可以用于部署更高粒度的訪問控制，這樣用戶就可以運行駐留在虛擬機中的應(yīng)用，而無法啟動、停止或刪除整個虛擬機。此外，更重要的是這些工具不僅可以在數(shù)據(jù)中心內(nèi)運行，而且可以在云中正常工作。這些技術(shù)還可用于對訪問進行日志記錄，就如同其它擁有基于角色訪問控制的安全工具產(chǎn)品一樣。“我們無法總是看著你不讓你做壞事，但是我們可以仔細(xì)地實施基于角色的訪問控制，從而實現(xiàn)虛擬機之間的相互隔離，并確保用戶擁有合適的訪問級別，”Seroter說。

5. 為即將到來的微分和虛擬容器做好準(zhǔn)備。諸如Docker容器這樣的工具能夠幫助您集中在云中的資源，并更緊密地針對您的工作負(fù)載和需求。不需要負(fù)責(zé)整個虛擬機，您只需要啟動一個虛擬過程或自動鏈接至針對特定任務(wù)的一系列流程。“容器能夠存在10秒或者10天，”Seroter說。“你必須知道如何評估攻擊面，因為這是一個完全不同的事物。”

微分產(chǎn)品(例如FireHost)能夠針對特定的工作負(fù)載以編程的方式提供網(wǎng)絡(luò)服務(wù)和策略。他們可以設(shè)置特定的VLAN和防火墻，并在虛擬網(wǎng)絡(luò)接口處強制執(zhí)行這些策略。“安全專業(yè)人員需要比這些新出現(xiàn)的趨勢更提前一步，要了解它們的局限性以及如何安全地使用它們，”Seroter說，“不只是預(yù)防那些被部署的東西。”

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_90764.htm