ITPub博客

如何构建安全的企业混合云?

原创 虚拟化 作者:danny_2018 时间:2018-08-03 11:14:48 0 删除 编辑

大概在几年前,就有专家预言,企业一旦上云,会率先采用私有云,然后在有需要的时候才会添加公有云。但是,几年下来后,这样的预言并没有发生。事实证明,大多数企业正在以最快的速度投入到混合云的洪流中。并且,这种发展趋势越来越明显。据Gartner预测,到2020年,会有90%的企业采用混合云来提升企业的管理能力。当然,不管哪种趋势能颠覆整个行业,都会存在相关的阻碍因素。当混合云大军开始了排山倒海式的转型,安全威胁正如影随形。

有数据显示:在对250位混合云安全负责人进行调研时,只有30%的专业人员使用的是跨内部和云的统一安全工具。随着AWS、Azure等企业云服务能力的增强,大部分企业都会步入云应用场景。作为企业的CIO或者CTO,我们如何有效监控企业云环境?如何充分利用企业内部资源和外部可扩展的资源,尽快转移到云端?

为构建安全的混合云环境,笔者根据行业信息汇总了十大关键标准。
一、灵活性
构建混合云环境,要充分考虑企业应用的便捷性和跨多个工作负载环境的能力,比如:IaaS、PaaS、本地化部署、虚拟环境,容器和FaaS等。对于大多数企业来说,拥有一个统一的监控平台,不可或缺。在条件允许的情况下,企业在部署云应用之初,就要采用具有一致性的工具或应用。这意味着,企业的混合云环境从平台架构开始。

二、可扩展性
对于开发人员来说,API是接口的最佳选择,它可以把企业的系统应用,和外部的数据资源,以及开放项目平台,有效对接。如身份认证、访问管理、可插式身份验证模块(PAM)、安全信息和事件管理、用户和实体行为分析、日志记录、威胁情报或桌面支持等。对于企业关键业务来说,一定要具有这种开箱即用的云和API的互操性,这点非常重要。API还支持企业的持续集成,持续交付以及DevOps工具应用中。除此外,还包括镜像、容器等。

三、响应能力
随着企业安全意识的提升,如何以最短的时间、以最小化的解决方案实施,快速识别企业应用的任何动态变化,已成为企业当务之急。我们需要一个弹性的、可伸缩的、基于企业微服务架构的体系。并且,这种体系能更好地适用于容器以及基于功能的工作负载架构,不会出现处理器、内存、I/O等随时会爆掉的现象。

四、深度发现能力
在企业云环境下,必须要具备自动识别能力,以便于我们对现有工作负载、新工作负载以及跨多个云环境的工作负载进行更改。并且,按功能给这些工作负载正确分组。另外,这种深度发现能力的构建要简单。比如:我们可以利用现有的AuthN和AuthZ开放授权策略,避免每一次访问都必须要重新创建一个特殊身份认证管理。
五、建立知识库

云平台构建必须支持各种基准、框架和指南,以及基于工作负载类型创建自定义策略。而且,这些策略应该自适用于现有的和新的工作负载。知识库的范围要最大化扩展,包括操作系统、虚拟化和云服务提供商等,设置涉及一些功能,比如:操作系统硬化、漏洞和补丁管理、配置管理和系统监控等。

六、跨基础设施和实时风险评估能力
一旦发现应用启动,资产就必须被计分。这种评分可以单独进行,比如:可以跨越基础设施的不同部分(如位置、子网、部门)、跨环境的工作负载类型(云和内部)或应用程序(PCI、web)。评分必须按优先级排序,必须能用于自动化的第三方工具集成,或者集成到现有的UI中。最重要的是,要相互关联。例如,一个组织使用10台Red Hat Enterprise Linux服务器运行一个web服务器集群,并开始向云过渡。在迁移过程中,有5个web服务器位于Azure上,5个位于本地。按照PCI遵从性,所使用的工具必须在两个环境中生成规范化的视图。

七、容器(Docker)的支持

Docker技术的出现引起众多企业用户的关注。如果是在本地部署容器,或者作为云部署的一部分去使用容器,我们需要确保工作负载是安全的。而且,如果我们引入镜像,需要确保镜像文件没有被损坏,上述六的很多功能在这里也同样适用。考察容器的安全性,我们要跨越整个生命周期,包括镜像扫描、容器运行时的监视和编排层的安全性等。

八、云安全态势监控

工作负载保护与云保护一样重要。其中包括主要云提供商提供的各种服务,如存储、动态负载均衡、计算和流媒体服务等,云体系结构必须实时监视和评估这些服务。最重要的是,查看这些服务的安全性与关键工作负载的安全性之间的关系,而且必须关联得分,整体反映出跨工作负载和云的真正混合安全态势。

九、灵活的云定价模式

针对云计算或者云存储的定价,我们需要采用灵活的定价模式,中间会涉及软件即服务(SaaS)提供,以及连接平台的后端到云服务提供商的计费引擎,还要具有按分钟计费的能力。或者,定价可以抽象,但仍然很灵活,这种模式类似于突发工作负载的概念,就好像手机供应商的滚动翻转模型。无论哪种情况,都好过现有的静态定价。

十、具备预测分析能力
在云端构建一个预测性分析平台,可让企业实时预测变化的结果。在不断变化的云环境中,对配置和系统操作进行“假设”分析至关重要。我们可以通过API从第三方引入数据,也可以创建更相关的变更图表,即我们常说的“虚拟白板”。
总之,云安全无小事,尤其是混合云架构,安全风险和事件是一个长期与之抗衡的过程。

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31547898/viewspace-2169069/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2018-07-30

  • 博文量
    69
  • 访问量
    73067