中国领先的IT技术网站
|
|

五项指导原则实现多云环境安全保障

在运行多云环境并享受相关优势的同时,我们也有必要采取适当的安全措施以实现保障能力。下面,我们首先从三大公有云巨头入手,逐步开启今天的议题。

作者:核子可乐译来源:51CTO|2017-07-24 09:52

开发者大赛路演 | 12月16日,技术创新,北京不见不散


【51CTO.com快译】AWS长期统治着云业务领域,但考虑到愈发复杂的具体业务需求(包括管理风险与成本等因素),企业客户通常有必要同时选择多家云服务供应商。另外,多家云服务商相配合往往能够带来最理想的整体云成本水平。

但在运行多云环境并享受相关优势的同时,我们也有必要采取适当的安全措施以实现保障能力。下面,我们首先从三大公有云巨头入手,逐步开启今天的议题。

公有云市场三大巨头

目前公有云市场由三大巨头把持,分别为AWS、微软Azure以及Google Cloud Platform。AWS参与最早且份额最高(达57%),微软份额为34%,而谷歌则把持着15%。

运行在多云环境下实现安全保障

多云环境

1. 避免Shadow Ops

只有企业内各个部门都认同多云环境带来的收益,才能真正发挥积极作用。然而,您可能面对着大量分散在AWS、Azure以及谷歌平台中的实例,并由DevOps团队负责根据具体情况对其加以使用。

在这种情况下,企业的安全性显然将受到严重影响。根据Gartner在2017年安全与风险管理峰会上得出的结论,到2020年,将有三分之一企业的IT资源遭遇攻击影响。因此,无论您所在的企业决定选用单一云供应商还是分散式基础设施,请确保每位成员都了解相关实例以及对应的安全最佳实践。这是解决Shadow Ops难题并提升整体安全水平的唯一途径。

2. 优先实现可见性

无论选择怎样的云平台,您都应确保对全部实例拥有可见能力。在理想情况下,您应对具体可见性进行优先级排序,并将其引入工作负载层。

单纯依靠基于签名的监控机制还远远不够,我们应当专注于通过基于行为型监控提升可见能力。具体来讲,我们应在全部实例当中引入行为监控手段,以快速发现异常行为。

您的安全解决方案应具备以下能力:

识别不受信的系统修改。

通过用户及进程行为监控捕捉威胁活动。

立即检测异常的用户、进程与文件活动。

只要拥有这样完善的可见能力,那么具体使用AWS、Azure或是谷歌云将不再重要——您仍能够保障运行安全。

3. 遵循最佳实践

每种云平台都拥有自己的最佳实践。因此如果您计划在多种平台上运行实例,请确保遵循与之对应的最佳实践。尽管三大巨头皆提供有所差别的最佳实践清单,但其中仍存在着一些普适性的标准:

随时了解您的环境内正在发生什么。

设置警报(按严重性排序)以通知您与策略相冲突的行为。

满足并高于合规性要求。

保持良好习惯:及时更新并安装补丁。

云服务供应商进行最佳实践共享的作法值得提倡,因为他们比任何人都更了解自己的技术方案,有责任教育并支持客户。

4. 关注自动化

人总是会犯错,Gartner认为到2020年,95%的云安全事故都源自客户的错误。在安全方面,人为错误可能引发各类风险,而依靠机器自动执行常规重复性任务则能够有效提升安全水平——特别是在多云环境当中。

我们建议您利用自动化方案进行安全设计,具体指导方针包括:

更新您的云治理规则。

了解共同责任模式。

采取持续性风险治理方法。

云环境能够帮助您的DevOps团队实现工作提速,并凭借着持续集成与持续开发周期带来显著的竞争优势。然而,云环境同样有可能引发风险,因此您必须利用自动化方案有效管理一切安全最佳实践,进而将出现错误的可能性控制在最低水平。

5. 坚持共同责任模式

最后,请确保充分理解共同责任模式。具体来讲,尽管AWS、谷歌与微软肩负着保护云环境自身的责任,但作为客户的您则需要保证您的应用程序、数据以及其它存在于云环境内的系统得到充分保护。如果有人在无需权限的情况下登录生产环境并引发风险,那么这部分责任将完全由您承担。因此,请确保充分理解这种新的责任分摊方式,并坚持加以贯彻。

结语

毫无疑问,我们能够看到越来越多的企业立足云平台进行市场竞争,令人非常振奋。而且虽然AWS拥有明显优势,但多元化的云服务选项让企业客户迎来更加丰富的解决方案思路。

只要您始终高度关注安全最佳实践,同时采取措施以确保云环境的可见性,那么您将能够全面享受公有云带来的优势,且不会因任何潜在安全缺陷而导致业务受损。

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 云安全:云访问安全代理(CASB)系统的陷阱和潜力
  2. 云安全:这也是需要花大钱去建设的部分
  3. 云安全仍然是最受关注的问题
  4. 保持容器基础设施安全的5个最佳办法
  5. 保护云端数据安全的三种方式
【责任编辑:赵立京 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

UNIX到Linux的移植

本书讲述怎样把UNIX环境下的应用程序移植到Linux环境上运行,是一本综合的开发和解决问题的参考手册 。本书详细描述了当前IT行业中被广泛应...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊