多云安全優(yōu)秀實踐指南(更新版)
多云網(wǎng)絡(luò)是由多個云服務(wù)供應(yīng)商組成的云網(wǎng)絡(luò)。一個簡單的多云網(wǎng)絡(luò)需要多個基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商。
你可以同時使用AWS和Azure嗎?
例如,你的部分云網(wǎng)絡(luò)服務(wù)器和物理網(wǎng)絡(luò)可能由Amazon Web Services (AWS)提供,但是你已經(jīng)將這些與Microsoft Azure提供的服務(wù)器和物理網(wǎng)絡(luò)集成到了一起。每個云服務(wù)供應(yīng)商提供的產(chǎn)品和服務(wù)可能略有不同,你的組織機構(gòu)可以通過這種方式充分利用雙方的優(yōu)勢。
另一種類型的多云網(wǎng)絡(luò)可能需要云供應(yīng)商的軟件即服務(wù)(SaaS)或平臺即服務(wù)(PaaS),以及你自己的基礎(chǔ)設(shè)施或其他供應(yīng)商的IaaS。
無論你采用了哪種形式的多云網(wǎng)絡(luò),你都可以將一家公司提供的技術(shù)和服務(wù)與另一家公司提供的技術(shù)和服務(wù)結(jié)合在一起。這可能是滿足組織機構(gòu)獨特的云網(wǎng)絡(luò)需求比較有效的方法。
但是讓所有這些不同的部分能夠協(xié)同工作需要付出一些努力。為這樣一個多樣化的云網(wǎng)絡(luò)部署合理的安全解決方案也是一個挑戰(zhàn)。每個供應(yīng)商都有自己的政策和網(wǎng)絡(luò)安全措施。
但是,部署一個足夠安全且合規(guī)的多云網(wǎng)絡(luò)是有可能的。下面是八項你必須牢記的優(yōu)秀實踐指南。
多云安全優(yōu)秀實踐指南
1)了解共享模型的工作原理
確保你所在組織機構(gòu)的業(yè)務(wù)伙伴和其他利益相關(guān)者,了解共享安全模型在你和你的云供應(yīng)商那里的工作原理。
通常云供應(yīng)商對他們自己基礎(chǔ)設(shè)施的安全性負責(zé),他們理應(yīng)能為你所在的組織機構(gòu)提供一些你需要的功能,以便能保護他們基礎(chǔ)設(shè)施中你的數(shù)據(jù)。這些功能包括多因素身份驗證、加密技術(shù)以及身份和訪問管理。
你的組織機構(gòu)通常將負責(zé)在基礎(chǔ)設(shè)施中如何使用你的數(shù)據(jù)。你的組織機構(gòu)開發(fā)或從第三方獲得的任何軟件都應(yīng)該打補丁,并進行安全加固。
你的員工在使用數(shù)據(jù)時應(yīng)遵守組織機構(gòu)的信息安全策略。如何部署虛擬機和必要的安全控制措施完全取決于你自己。這些是你所在組織機構(gòu)的責(zé)任。
2)選擇合適的云供應(yīng)商
你必須仔細選擇你所有的云供應(yīng)商。
閱讀他們產(chǎn)品和服務(wù)具有的所有功能和特性,以及他們自己的網(wǎng)絡(luò)安全政策。全面了解你現(xiàn)在部署的云的供應(yīng)商以及將來可能合作的云供應(yīng)商。
你的網(wǎng)絡(luò)和安全人員以及與你的云一起工作的所有利益相關(guān)者,應(yīng)該了解你合作供應(yīng)商的服務(wù)細節(jié),并參與選擇云供應(yīng)商的決策過程。
3)了解賬戶和部署區(qū)
在共享安全模型中履行你所在組織機構(gòu)的職責(zé),要求你了解帳戶和部署區(qū),在這些區(qū)域你需要可見性來監(jiān)控漏洞。
有了這些了解,你就可以正確地部署IDS和IPS設(shè)備,并分析它們的日志,或者讓一個值得信任的第三方為你處理這些日志,同時讓你了解你的網(wǎng)絡(luò)中發(fā)生了什么。
4)校準所有工具
徹底了解你的多云網(wǎng)絡(luò)中的應(yīng)用程序是如何工作的。確保云環(huán)境中的所有實體都能與各種云工具兼容。你的云應(yīng)用程序的配置和部署是獨特的,并且有其特定的安全需求。
5)安全加固應(yīng)用程序
漏洞和風(fēng)險(VnE)管理對于獲取安全加固應(yīng)用程序所需的數(shù)據(jù)至關(guān)重要。
你需要仔細考慮把它們放在哪里它們才能夠有效地工作。你應(yīng)該放在本地嗎?它應(yīng)該部署在你的某個云環(huán)境中嗎?你是否需要在每個云環(huán)境都進行部署才能獲得準確的數(shù)據(jù)?哪一種符合你的漏洞掃描需求?
6)必須遠程掃描你的公共云
你必須能夠遠程掃描你的公共云,因為它們不在本地。在你的公共云環(huán)境中啟用遠程掃描設(shè)備分析器虛擬映像。
7)安全是一個過程,而不是一個產(chǎn)品
你必須定期評估多云網(wǎng)絡(luò)的安全性,因為你的基礎(chǔ)設(shè)施和軟件將隨著時間的推移而發(fā)生變化,網(wǎng)絡(luò)威脅環(huán)境也是如此。安全測試人員提供的任何補救措施都應(yīng)該被執(zhí)行。正如Bruce Schneier說的,安全是一個過程,而不是一個產(chǎn)品!
8)監(jiān)測變化
你還應(yīng)該評估云服務(wù)本身的安全性。Tripwire的云管理評估器同時支持Amazon Web Services和Microsoft Azure。確保你對其技術(shù)的配置是安全的,并監(jiān)控可能導(dǎo)致漏洞的變化。
