多云安全要以架構和治理為重點
富士通公司荷蘭分公司多云和應用程序服務總監、企業安全架構師Jeroen Mulder對組織采用的多云安全架構規劃為什么應該從業務和客戶的角度出發進行了解釋和分析。他認為,建立多云環境就像使用新的智能手機一樣需要重新配置。
他說:“當我從包裝盒中取出新手機時,它幾乎無法使用。要使其功能正常,首先必須將其連接到互聯網。然后需要下載應用程序,并且需要數據(例如聯系人或照片)以使其應用實現個性化。最后,啟用面部識別和其他功能,并采取措施確保除本人之外的人員都不能使用它。”
Mulder表示,多云的概念也是如此。在多個平臺上運行復雜的環境需要一種綜合的策略來處理連接性、應用程序、數據存儲和安全性。
在其撰寫的名為《多云架構和治理》的著作中,Mulder闡述了企業架構知識對于構建基于業務目標的多云戰略的重要性,以及它屬于安全戰略的原因。
Mulder詳細介紹了作為企業架構師將如何影響安全方法,并為云計算和安全專業人員提供了職業策略的建議。他接受了行業媒體的采訪,并對提出的問題進行了解答。
您為什么撰寫有關多云架構及其治理的書籍?
Mulder:應用程序是云計算基礎設施的基礎。但目前很少有書籍描述如何在AWS、Azure或谷歌云平臺進行設置,對于如何使用不同的云平臺也很少描述。所以我決定自己編寫一本。
我首先從技術基礎對全球三個主要的公共云進行比較。我要從企業架構師的角度進行思考,這導致我編寫的這本書的第一部分專注于多云治理和架構。而在考慮安全技術之前,需要考慮業務角度和架構框架,因此規劃多云策略至關重要。
人們關于多云安全最常見的誤解是什么?
Mulder:很多公司仍然認為,一旦他們進入混合云、公共云的或多云的運營環境,他們的工作負載就會受到默認保護,顯然不是這樣。這些云平臺所做的唯一一件事就是提供一個工具箱,用戶可以用它保護運營環境。這與組織在傳統基礎設施中確保工作負載安全沒有什么不同。
組織不要認為能夠阻止網絡攻擊者進入其系統。但是,當考慮應對不可避免的攻擊時,組織可以計劃如何響應以及如何保護運營范圍內的資產。例如可以采取適當的措施,一旦數據落入攻擊者手中,就會使其無法使用。
在多云環境中,保護外圍設備的資產尤為重要,因為組織并不總是完全了解資產。許多客戶并不知道他們的服務在世界各地運行。這是因為云平臺遍布全球,不再是組織的內部部署數據中心。
企業如何解決和防止云蔓延?
Mulder:云蔓延增加了安全性的復雜性。為了防止蔓延,組織的最佳實踐是將所有內容盡可能地放在一個堆棧中,但在多云的世界中不可能做到這一點。以智能手機為例:當人們打開手機時,正在使用許多不同的應用程序,而這些應用程序來自Google、Apple、Microsoft以及來自世界各地的其他應用程序,而確保它們的安全性取決于使用者。確保安全是唯一可以訪問手機的用戶的責任,例如啟用Face ID身份驗證。
多云安全最佳實踐首先需要對資產和身份進行清查,知道誰以及為什么在組織的系統中。需要注意的是,標識可以應用于收集數據甚至軟件的服務、應用程序、API。當組織將這些視為身份驗證因素時,更容易想到保護數據和應用程序的方法。
企業架構師培訓如何影響組織的多云安全方法?
Mulder:組織需要學習如何構建企業架構,因為多云安全不僅僅是技術問題。構建防火墻是一條安全的捷徑,但安全性并非始于防火墻,而是始于治理。需要回答一系列問題,例如,誰有資格進入什么系統?需要在哪里保護系統,在什么級別進行保護?為什么?在進行治理之后,還要考慮數據,然后是應用程序,最后是技術。企業架構關注全局,并確定技術是否以及如何為組織增加價值。
組織可以在云計算環境中的任何部分構建更強大的虛擬防火墻,以確保安全,但是這樣做可能會使它完全無法使用。組織必須在安全性和可用性之間保持平衡。
在多云環境中工作時,哪些非技術技能很重要?
Mulder:從治理的角度而言,耐心聽取客戶的意見很重要。需要了解信譽是組織與客戶建立關系的原因,所以要自信但不要傲慢。需要能夠冷靜地解釋事情,并隨時準備采納新的觀點。
在編寫《多云架構和治理》這本書的過程中,學到了什么令人感興趣的事情?
Mulder:我使用和研究了三個主要云平臺——AWS、Azure、GCP。有趣的是,各個云平臺之間存在一些相似之處,也有一些方面完全不同的。在編寫本書之前,我很了解AWS和Azure,但是谷歌云平臺(GCP)對我來說是新事物。
打開谷歌云平臺是從云計算控制臺開始,而不是腳本或PowerShell開始。這很費時,但為了撰寫這本書,我不得不從控制臺執行所有操作。在起初,我覺得自己回到了10年前,當時采用Unix重新編程。但令我驚訝的是它的強大功能。我可以在谷歌云平臺里做一些我從未想象過的事情,這對我來說是一個重大發現。
使用多云環境的安全架構師應該獲得哪些認證?
Mulder:毫無疑問,開放組架構框架(TOGAF)應該是其中之一。建議安全架構師應該獲得TOGAF認證以及安全認證。
如果組織正在進入云端,那么從哪里開始并不重要。可以從AZ-900:Azure基礎知識或AWS基本認證開始。所有云采用框架都涵蓋身份、安全性、成本管理和治理。無論對于AWS還是Azure或谷歌云平臺,云計算基礎課程的唯一區別在于技術。它們看起來可能有所不同,但是學習通用的公共云概念可以使組織在任何一個云計算環境中工作。
