多云環(huán)境下的安全最佳實(shí)踐
多云環(huán)境是由不止一家云服務(wù)提供商組成的云環(huán)境。涉及多家基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商的環(huán)境就是一種簡(jiǎn)單的多云環(huán)境。
舉個(gè)例子,云環(huán)境中的一些服務(wù)器和物理網(wǎng)絡(luò)由AWS提供,但可以將之與微軟Azure提供的服務(wù)器和物理網(wǎng)絡(luò)集成。不同云服務(wù)提供商的產(chǎn)品和服務(wù)可能略有差異,正好各取其長(zhǎng),互為補(bǔ)充。
另一類多云環(huán)境,是將某云提供商的軟件即服務(wù)(SaaS)或平臺(tái)即服務(wù)(PaaS)與你自身的基礎(chǔ)設(shè)施或另一家供應(yīng)商的IaaS結(jié)合。
無論采取哪種形式,都涉及到將一家公司的技術(shù)和服務(wù)與其他公司的技術(shù)和服務(wù)混搭。這或許是滿足公司企業(yè)特定云需求最有效的方式了。
但讓所有這些各不相同的實(shí)體協(xié)同一致地工作需要一點(diǎn)精心細(xì)致的努力。而恰當(dāng)?shù)丶訌?qiáng)此類多樣化云環(huán)境的安全,本身也存在諸多挑戰(zhàn)!每個(gè)供應(yīng)商都有各自的策略和網(wǎng)絡(luò)安全措施。
但我們還是有可能部署出合規(guī)友好且相當(dāng)安全的多云環(huán)境的。在部署的時(shí)候記得下面8條***實(shí)踐就好。
多云環(huán)境安全***實(shí)踐
1. 了解共享安全模型的應(yīng)用方式
通常,云提供商要對(duì)自身基礎(chǔ)設(shè)施的安全負(fù)責(zé),還應(yīng)為企業(yè)提供保護(hù)所存數(shù)據(jù)所需的某些功能,比如多因子身份驗(yàn)證方法、加密技術(shù),以及身份與訪問管理(IAM)。
公司要對(duì)自身在云提供商基礎(chǔ)設(shè)施中的數(shù)據(jù)使用負(fù)責(zé)。無論是自家公司開發(fā)的軟件,還是購自第三方的軟件,都應(yīng)打全補(bǔ)丁,強(qiáng)化安全。
雇員在數(shù)據(jù)使用上應(yīng)遵守公司的信息安全策略。部署虛擬機(jī)和自有必備安全控制措施的大權(quán)掌握在你自己手里。這些都是企業(yè)的責(zé)任。
2. 仔細(xì)甄選云供應(yīng)商
全面了解提供商的產(chǎn)品和服務(wù)的各項(xiàng)功能,并觀察提供商自身的網(wǎng)絡(luò)安全策略。要對(duì)企業(yè)現(xiàn)在正在部署和將來可能部署的云提供商有著深入理解。你的網(wǎng)絡(luò)員工及安全員工,還有與云環(huán)境互動(dòng)的所有其他利益相關(guān)者,都應(yīng)了解企業(yè)所用云提供商服務(wù)的細(xì)節(jié),并參與到云提供商選擇決策過程中來。
3. 了解需要持續(xù)監(jiān)視的賬戶和部署區(qū)域
想要維護(hù)好共享安全模型中屬于本公司的那部分責(zé)任,就得了解那些需要持續(xù)監(jiān)視的賬戶和部署區(qū)域。只有充分了解了這些賬戶和區(qū)域,才能合理部署IDS和IPS設(shè)備,分析這些設(shè)備的日志,或者將之托管給可信第三方,讓他們向你通報(bào)網(wǎng)絡(luò)情況。
4. 理解應(yīng)用程序在多云環(huán)境中的運(yùn)作機(jī)理
深入理解企業(yè)的應(yīng)用程序在多云環(huán)境中到底是怎么運(yùn)作的。確保云環(huán)境中的所有實(shí)體都能與公司的各種云工具協(xié)同工作。云應(yīng)用的配置和部署都是獨(dú)特的,有它們自己特定的安全需求。
5. 建立漏洞與暴露(VnE)管理器
得慎重考慮VnE管理器的部署位置,以便它們能有效地收集所需數(shù)據(jù)。不妨問問自己這幾個(gè)問題:現(xiàn)場(chǎng)環(huán)境應(yīng)不應(yīng)該放一個(gè)?要放到某個(gè)云環(huán)境中嗎?每個(gè)云環(huán)境是不是都得部署一個(gè)才可以收集到準(zhǔn)確的數(shù)據(jù)?怎么做才最適合漏洞掃描需求?
6. 確保能夠遠(yuǎn)程掃描你的公共云
因?yàn)樗鼈儾]有在你的管區(qū)之內(nèi)。在企業(yè)的公共云環(huán)境中啟用遠(yuǎn)程掃描設(shè)備探查器虛擬鏡像。
7. 經(jīng)常評(píng)估多云環(huán)境的安全情況
因?yàn)槠髽I(yè)的基礎(chǔ)設(shè)施和軟件,還有網(wǎng)絡(luò)威脅環(huán)境,都會(huì)隨時(shí)間而改變,所以必須經(jīng)常性評(píng)估多云環(huán)境的安全情況。安全測(cè)試員提供的任何緩解指令都應(yīng)被實(shí)施。正如安全大師布魯斯·施奈爾所言,安全是個(gè)過程,不是產(chǎn)品!
8. 云服務(wù)本身也應(yīng)評(píng)估安全狀況
Tripwire的云管理評(píng)估器( Cloud Management Assessor )如今既支持AWS也支持微軟Azure。請(qǐng)確保所用技術(shù)的配置是安全的,并監(jiān)視可能導(dǎo)致漏洞的修改。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
