多云環境下的安全最佳實踐
多云環境是由不止一家云服務提供商組成的云環境。涉及多家基礎設施即服務(IaaS)提供商的環境就是一種簡單的多云環境。
舉個例子,云環境中的一些服務器和物理網絡由AWS提供,但可以將之與微軟Azure提供的服務器和物理網絡集成。不同云服務提供商的產品和服務可能略有差異,正好各取其長,互為補充。
另一類多云環境,是將某云提供商的軟件即服務(SaaS)或平臺即服務(PaaS)與你自身的基礎設施或另一家供應商的IaaS結合。
無論采取哪種形式,都涉及到將一家公司的技術和服務與其他公司的技術和服務混搭。這或許是滿足公司企業特定云需求最有效的方式了。
但讓所有這些各不相同的實體協同一致地工作需要一點精心細致的努力。而恰當地加強此類多樣化云環境的安全,本身也存在諸多挑戰!每個供應商都有各自的策略和網絡安全措施。
但我們還是有可能部署出合規友好且相當安全的多云環境的。在部署的時候記得下面8條***實踐就好。
多云環境安全***實踐
1. 了解共享安全模型的應用方式
通常,云提供商要對自身基礎設施的安全負責,還應為企業提供保護所存數據所需的某些功能,比如多因子身份驗證方法、加密技術,以及身份與訪問管理(IAM)。
公司要對自身在云提供商基礎設施中的數據使用負責。無論是自家公司開發的軟件,還是購自第三方的軟件,都應打全補丁,強化安全。
雇員在數據使用上應遵守公司的信息安全策略。部署虛擬機和自有必備安全控制措施的大權掌握在你自己手里。這些都是企業的責任。
2. 仔細甄選云供應商
全面了解提供商的產品和服務的各項功能,并觀察提供商自身的網絡安全策略。要對企業現在正在部署和將來可能部署的云提供商有著深入理解。你的網絡員工及安全員工,還有與云環境互動的所有其他利益相關者,都應了解企業所用云提供商服務的細節,并參與到云提供商選擇決策過程中來。
3. 了解需要持續監視的賬戶和部署區域
想要維護好共享安全模型中屬于本公司的那部分責任,就得了解那些需要持續監視的賬戶和部署區域。只有充分了解了這些賬戶和區域,才能合理部署IDS和IPS設備,分析這些設備的日志,或者將之托管給可信第三方,讓他們向你通報網絡情況。
4. 理解應用程序在多云環境中的運作機理
深入理解企業的應用程序在多云環境中到底是怎么運作的。確保云環境中的所有實體都能與公司的各種云工具協同工作。云應用的配置和部署都是獨特的,有它們自己特定的安全需求。
5. 建立漏洞與暴露(VnE)管理器
得慎重考慮VnE管理器的部署位置,以便它們能有效地收集所需數據。不妨問問自己這幾個問題:現場環境應不應該放一個?要放到某個云環境中嗎?每個云環境是不是都得部署一個才可以收集到準確的數據?怎么做才最適合漏洞掃描需求?
6. 確保能夠遠程掃描你的公共云
因為它們并沒有在你的管區之內。在企業的公共云環境中啟用遠程掃描設備探查器虛擬鏡像。
7. 經常評估多云環境的安全情況
因為企業的基礎設施和軟件,還有網絡威脅環境,都會隨時間而改變,所以必須經常性評估多云環境的安全情況。安全測試員提供的任何緩解指令都應被實施。正如安全大師布魯斯·施奈爾所言,安全是個過程,不是產品!
8. 云服務本身也應評估安全狀況
Tripwire的云管理評估器( Cloud Management Assessor )如今既支持AWS也支持微軟Azure。請確保所用技術的配置是安全的,并監視可能導致漏洞的修改。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
