為什么原生云控制不足以實現有意義的微分割?
精確制定的微分割策略可防范未經授權通信的應用程序,并在此過程中提醒運營人員潛在的威脅。
數據和工作負載向云的移動更像是一次倉促的沖刺。在尋求競爭優勢的過程中,企業顯然渴望利用云計算提供給他們的敏捷性和靈活性,以至于安全常常是事后的想法。但是,云計算提供商不關心這個嗎?有些公司驚訝地聽到答案是否定的,至少不完全是這樣。
云計算和基礎設施即服務(IaaS)提供商采用共享安全模式運行。當與客戶和潛在客戶交談時,發現即使是大型和復雜的公司也很難將他們的想法包裝在這個概念的周圍。安全是提供者和用戶之間的共同責任,在大多數情況下,其責任相當明確。
例如,區分“云端(公共云提供商)”的安全性(提供者的責任)和“云中(客戶)”的安全性。通常,供應商負責保護云計算基礎設施的安全,其中包括硬件、軟件、網絡和物理設施。用戶負責保護他們自己的操作系統、應用程序和數據。
這里有些東西會變得模糊不清:云計算提供商可能會提供保護自己資產的工具,但是如果用戶選擇使用這些工具,則需要負責配置和管理它們,而不是提供商負責。總的來說,云計算用戶需要積極主動地認真了解提供商的安全能力,然后弄清楚他們需要做些什么來支持共享安全協議的結束。
微分割面臨的挑戰
現代數據中心越來越多地是內部部署,私有云和公共云環境的混合體,其中包含一系列物理服務器、虛擬機和容器。這對安全團隊構成了一個復雜的挑戰:如何在多種環境中提供應用程序和工作負載,以及在各種安全標準和功能不同的提供商之間移動。
目前,云計算安全的主要驅動力是合規性。在審計人員的推動下,安全團隊正在積極探索微分割市場,作為滿足合規要求的最佳實踐。但是許多組織認為這是實施的一個挑戰。主要的障礙是缺乏對數據中心資產、工作流程和流程的可見性,即使在單一的云環境中也是如此。
如果沒有可見性,很難在微觀層面上建立安全策略,如果不是不可能的話。更復雜的是,人們談論的大多數公司都是基于混合云的工作負載,這些工作負載可以在多個異構的本地部署和云環境中遷移。
原生云控制功能不足
云計算和IaaS提供商經常提供特定于個人的環境工具來設置安全組的安全策略。但是,這些工具并不適合在當今動態數據中心實現大規模微分割。這些并不能解決可見性問題,讓用戶嘗試識別他們的資產用于分組目的。他們傾向于將重點放在OSI模型中的第4層傳輸層上,而入侵者真正駐留在第7層應用層中的應用程序。原生云安全控制還缺乏動態策略設置或標記功能,這意味著隨著工作負載自動向上或向下擴展、更新或修改安全策略的能力也成為將工作負載移至云的關鍵原因之一。
在多云數據中心中,每個提供商通常專注于在自己的環境中解決問題。使用一個提供商工具創建的策略在遷移到不同環境時將無法執行工作負載,將責任推給用戶以管理多個策略解決方案。云計算提供商工具也缺乏設置策略以滿足特定合規性要求的靈活性。
精確制定的微分割策略可防范未經授權通信的應用程序,并在此過程中提醒操作人員潛在的威脅。云計算提供商提供的大多數工具都缺乏這種威脅檢測方面。
了解云計算客戶負責保護他們自己的資產并管理用于保護他們的工具,他們必須超越云計算提供商提供的工具,并將問題交由自己處理。
做這件事需要做什么?
企業用戶必須清楚地了解云計算提供商的安全措施的完美程度,并確定他們需要覆蓋的內容。這需要了解供應商的安全控制和對環境的持續監控,以確保供應商保持其交易的結束。
為了在混合基礎設施中有效地實現微分割,安全團隊需要深入了解應用程序和進程、它們之間的關系以及它們的編排數據。此可見性必須擴展到第7層進程來處理級別,以便發現和識別將微程序分組的應用程序。
為簡化實施和持續管理,安全管理員需要一個獨立于平臺的策略創建和控制機制,可在多個融合云環境中運行,并隨時隨地處理工作負載。他們還需要一個靈活的策略引擎,允許持續更新和完善策略,并在工作負載自動擴展和縮減時動態標記。
用戶應該能夠靈活地設置與高度具體的合規性要求相關的策略。他們還應該靈活部署,以利用本地云分發方法。最后,他們應該能夠檢測潛伏在數據中心內部的威脅。
云計算的商業利益非常明確。但沒有足夠的安全性,它們就會失去。通過獲取在混合基礎設施中有效實施微分割的知識和工具,IT安全團隊可以成為企業充分利用云計算來推動戰略并實現目標的英雄。
