精確制定的微分割策略可防范未經(jīng)授權(quán)通信的應用程序，并在此過程中提醒運營人員潛在的威脅。

數(shù)據(jù)和工作負載向云的移動更像是一次倉促的沖刺。在尋求競爭優(yōu)勢的過程中，企業(yè)顯然渴望利用云計算提供給他們的敏捷性和靈活性，以至于安全常常是事后的想法。但是，云計算提供商不關(guān)心這個嗎？有些公司驚訝地聽到答案是否定的，至少不完全是這樣。

云計算和基礎(chǔ)設(shè)施即服務（IaaS）提供商采用共享安全模式運行。當與客戶和潛在客戶交談時，發(fā)現(xiàn)即使是大型和復雜的公司也很難將他們的想法包裝在這個概念的周圍。安全是提供者和用戶之間的共同責任，在大多數(shù)情況下，其責任相當明確。

[[220825]]

例如，區(qū)分“云端（公共云提供商）”的安全性（提供者的責任）和“云中（客戶）”的安全性。通常，供應商負責保護云計算基礎(chǔ)設(shè)施的安全，其中包括硬件、軟件、網(wǎng)絡(luò)和物理設(shè)施。用戶負責保護他們自己的操作系統(tǒng)、應用程序和數(shù)據(jù)。

這里有些東西會變得模糊不清：云計算提供商可能會提供保護自己資產(chǎn)的工具，但是如果用戶選擇使用這些工具，則需要負責配置和管理它們，而不是提供商負責?？偟膩碚f，云計算用戶需要積極主動地認真了解提供商的安全能力，然后弄清楚他們需要做些什么來支持共享安全協(xié)議的結(jié)束。

微分割面臨的挑戰(zhàn)

現(xiàn)代數(shù)據(jù)中心越來越多地是內(nèi)部部署，私有云和公共云環(huán)境的混合體，其中包含一系列物理服務器、虛擬機和容器。這對安全團隊構(gòu)成了一個復雜的挑戰(zhàn)：如何在多種環(huán)境中提供應用程序和工作負載，以及在各種安全標準和功能不同的提供商之間移動。

目前，云計算安全的主要驅(qū)動力是合規(guī)性。在審計人員的推動下，安全團隊正在積極探索微分割市場，作為滿足合規(guī)要求的最佳實踐。但是許多組織認為這是實施的一個挑戰(zhàn)。主要的障礙是缺乏對數(shù)據(jù)中心資產(chǎn)、工作流程和流程的可見性，即使在單一的云環(huán)境中也是如此。

如果沒有可見性，很難在微觀層面上建立安全策略，如果不是不可能的話。更復雜的是，人們談論的大多數(shù)公司都是基于混合云的工作負載，這些工作負載可以在多個異構(gòu)的本地部署和云環(huán)境中遷移。

原生云控制功能不足

云計算和IaaS提供商經(jīng)常提供特定于個人的環(huán)境工具來設(shè)置安全組的安全策略。但是，這些工具并不適合在當今動態(tài)數(shù)據(jù)中心實現(xiàn)大規(guī)模微分割。這些并不能解決可見性問題，讓用戶嘗試識別他們的資產(chǎn)用于分組目的。他們傾向于將重點放在OSI模型中的第4層傳輸層上，而入侵者真正駐留在第7層應用層中的應用程序。原生云安全控制還缺乏動態(tài)策略設(shè)置或標記功能，這意味著隨著工作負載自動向上或向下擴展、更新或修改安全策略的能力也成為將工作負載移至云的關(guān)鍵原因之一。

在多云數(shù)據(jù)中心中，每個提供商通常專注于在自己的環(huán)境中解決問題。使用一個提供商工具創(chuàng)建的策略在遷移到不同環(huán)境時將無法執(zhí)行工作負載，將責任推給用戶以管理多個策略解決方案。云計算提供商工具也缺乏設(shè)置策略以滿足特定合規(guī)性要求的靈活性。

精確制定的微分割策略可防范未經(jīng)授權(quán)通信的應用程序，并在此過程中提醒操作人員潛在的威脅。云計算提供商提供的大多數(shù)工具都缺乏這種威脅檢測方面。

了解云計算客戶負責保護他們自己的資產(chǎn)并管理用于保護他們的工具，他們必須超越云計算提供商提供的工具，并將問題交由自己處理。

做這件事需要做什么？

企業(yè)用戶必須清楚地了解云計算提供商的安全措施的完美程度，并確定他們需要覆蓋的內(nèi)容。這需要了解供應商的安全控制和對環(huán)境的持續(xù)監(jiān)控，以確保供應商保持其交易的結(jié)束。

為了在混合基礎(chǔ)設(shè)施中有效地實現(xiàn)微分割，安全團隊需要深入了解應用程序和進程、它們之間的關(guān)系以及它們的編排數(shù)據(jù)。此可見性必須擴展到第7層進程來處理級別，以便發(fā)現(xiàn)和識別將微程序分組的應用程序。

為簡化實施和持續(xù)管理，安全管理員需要一個獨立于平臺的策略創(chuàng)建和控制機制，可在多個融合云環(huán)境中運行，并隨時隨地處理工作負載。他們還需要一個靈活的策略引擎，允許持續(xù)更新和完善策略，并在工作負載自動擴展和縮減時動態(tài)標記。

用戶應該能夠靈活地設(shè)置與高度具體的合規(guī)性要求相關(guān)的策略。他們還應該靈活部署，以利用本地云分發(fā)方法。最后，他們應該能夠檢測潛伏在數(shù)據(jù)中心內(nèi)部的威脅。

云計算的商業(yè)利益非常明確。但沒有足夠的安全性，它們就會失去。通過獲取在混合基礎(chǔ)設(shè)施中有效實施微分割的知識和工具，IT安全團隊可以成為企業(yè)充分利用云計算來推動戰(zhàn)略并實現(xiàn)目標的英雄。