由于云的使用越来越多,组织发现他们需要处理混合环境和模糊的工作负载来保证安全。集装箱化和云存储的数据为该行业提供了新的挑战。虽然您可以尝试使负责数据安全性的云数据存储提供商,但您将很难尝试说服提供者对您的云工作负载安全性负责。
你在说什么?
让我们向那些不熟悉的人解释一些不太常见的术语。
Containization的目标是允许应用程序以不同的计算环境中以有效和无窃取的方式运行,无论是桌面还是虚拟机或Windows或Linux操作系统。应用程序在不同的系统和基础设施中始终如一地运行的需求,并以快速的速度移动了这项技术的发展。在商业组织内使用不同的平台和向云的举动无疑是这种需求的巨大贡献者。容器化几乎总是在云环境中进行,这有助于其可扩展性。
虽然有很多云数据存储供应商,但目前提供容器化服务的供应商几乎都是大公司,如Amazon Web services、Oracle和Microsoft Azure。
静态,甚至不断变化,数据比活动过程更容易保护。云工作负载可以从简单的Web应用程序到复杂的组织特定工作流管理系统。
云工作安全
从安全性的角度来看,容器之间的隔离是件好事。如果一个容器受到损害,则任何恶意软件几乎不可能将任何恶意软件交叉到另一个容器,因为顶层操作系统具有每个容器的单独命名空间。但是,正如您可以想象的那样,这种分离也使得更难为正在使用的容器的整个复合物设计安全解决方案。
传统上,安全软件的设计目的是保护您的IT环境不受外部世界的影响。如今,切断外部世界与环境的联系意味着云资源变得不可用,远程工作人员将与公司网络断开连接。由于安全是阻碍组织将数据和工作负载转移到云中的主要问题之一,因此对云工作负载安全给予了很多关注。
扩展安全范围以包括云工作负载的第一步是根据设计使云环境更加安全。这意味着在设计的每个步骤中都要注意安全问题。
您的IT部门和云资源
一个常见的错误是,组织中的组织或团队在没有涉及其内部IT/安全部门的情况下开始使用云资源。虽然这可能看起来微不足道,或者他们甚至可能没有考虑到新的“应用程序”作为云资源,但它确实对安全边界有影响,负责团队应该意识到这一变化。
云安全组织
组织云安全的方式在很大程度上取决于云资源安全的责任所在。从完全内部的模型到完全外部的模型,云安全提供商对所有资源承担全部责任,并提供必要的安全层。
应用层
Web应用程序在应用程序层中保护。该层通常由旨在保护应用程序免受外部威胁的一些元素组成。主元件可以是定制防火墙与端到端加密结合。这将屏蔽来自威胁的应用程序并保护数据流拦截并读取。
虚拟机管理程序层
云工作负载安全的另一个重要层是管理程序层。这一层的安全设置将被设计来保证云服务器的虚拟化环境的安全。在这个环境中,您将看到来宾操作系统和虚拟网络。这一层的安全性也将负责在虚拟机中运行的容器。这一层中用于安全性的主要组件将是应用程序加固。内部应用程序必须如此考虑到安全性和第三方软件需要及时更新和修补。
安全编排
在这种分层和复杂的环境中,另一个重要元素是安全编排。在这方面的编排意味着:
- 解决方案在不互相中断的情况下工作。
- 简化工作流流程,使每个组件都能做自己最擅长的事情。
- 统一使数据以用户友好和有组织的方式导出。
即使安全软件来自不同的供应商,安全编排在理想情况下也是可能的。然而,它经常需要进行修改,以最大限度地利用解决方案所提供的内容,而不影响另一个解决方案的有效性。
通常,有效地协调来自不同供应商的专用应用程序要比协调来自不同供应商的重叠应用程序更容易。相互竞争的应用程序之间的重叠往往是事故发生的领域。这可能是因为禁用了一些特性,这样它们就不会造成干扰,也可能是因为一个应用程序被期望捕捉到某些内容,而另一个应用程序不需要监视该区域。
重要性升级
随着云应用程序在组织中的绝对数量和相对规模不断增长,有必要查看安全边界的结构和组织,以及希望如何保护该边界。当你的组织朝着这个方向发展时,一些注意事项:
- 保持对所有云应用的安全和IT团队的意识。
- 侦察来自不同供应商的安全应用程序的可能性以及如何最好地管理和协调它们。
- 了解您正在使用的不同类型的基于云的应用程序,以及它们是否需要特定的安全方法。
- 不要依赖您的云提供商自动为您安排安全。如果您也决定依赖云服务提供商的安全安排,请确保您和您的IT员工了解其覆盖范围的边界和限制。
保持安全的人!
评论