如果你的組織正在考慮使用或者已經(jīng)在使用云服務(wù),那么你可能正在使用若干云部署模型中的一個(gè)。
首先是公共云,在公共云中云服務(wù)是通過(guò)公共互聯(lián)網(wǎng)提供的。其次是私有云,其基礎(chǔ)設(shè)施是專(zhuān)為單一組織的專(zhuān)一性使用而設(shè)計(jì)的,同時(shí)通常也是由該組織對(duì)基礎(chǔ)設(shè)施進(jìn)行托管和管理。社區(qū)云則是為一組用戶的專(zhuān)一使用而配置的,這些用戶擁有共同的商業(yè)利益和運(yùn)營(yíng)問(wèn)題(例如安全性或合規(guī)性要求等)。
最后,就是混合云了,根據(jù)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)SP 800-145中的定義,混合云是“兩個(gè)或兩個(gè)以上保持各自實(shí)體獨(dú)立性的不同云基礎(chǔ)設(shè)施(私有云、社區(qū)云或公共云)形成的一個(gè)組合,該組合采用的標(biāo)準(zhǔn)或?qū)S眉夹g(shù)可實(shí)現(xiàn)數(shù)據(jù)和應(yīng)用程序的可移植性[例如,云之間的針對(duì)云資源使用高峰而使用的負(fù)載平衡技術(shù)]?!?br>
混合云實(shí)際上是公共云和私有云之間的一個(gè)妥協(xié)產(chǎn)物:它們可提供“世界上最好的特性”,例如公共云聚集資源的靈活性和可用性,以及私有云的服務(wù)與專(zhuān)門(mén)安全規(guī)定。在本文中,我們將逐一介紹企業(yè)混合云安全性的最佳實(shí)踐。
混合云的安全性問(wèn)題
在混合云環(huán)境中,必須在多個(gè)角度上解決安全性問(wèn)題。例如,必須在數(shù)據(jù)移入和移出云的位置解決安全性問(wèn)題;對(duì)于駐留在云中的數(shù)據(jù)也必須考慮其安全性問(wèn)題。在主要的安全性控制措施中,數(shù)據(jù)加密技術(shù)就是其中之一。在具體實(shí)施之前,用戶應(yīng)決定是否對(duì)存儲(chǔ)狀態(tài)和傳輸狀態(tài)的數(shù)據(jù)進(jìn)行加密,然后再調(diào)查云供應(yīng)商是否能夠接受你的加密需求。其他額外的安全性考慮還包括:確定防火墻和其他安全設(shè)備是否需經(jīng)過(guò)ICSA認(rèn)證;確保本地?cái)?shù)據(jù)中心的服務(wù)和應(yīng)用程序的安全性;為鏈接至云的應(yīng)用程序提供安全措施;確保存儲(chǔ)在一個(gè)以上云環(huán)境中的數(shù)據(jù)都是安全的;以及確保移動(dòng)設(shè)備與你的混合云之間連接的安全性。實(shí)現(xiàn)以上這些目標(biāo)的技術(shù)包括:更新和強(qiáng)化防火墻規(guī)則;擴(kuò)展使用入侵檢測(cè)系統(tǒng)和其他的網(wǎng)絡(luò)監(jiān)控設(shè)備以確定在傳輸過(guò)程中是否存在著的潛在惡意代碼;審查更新訪問(wèn)策略與權(quán)限以防止未經(jīng)授權(quán)的訪問(wèn);在鏈接云資源和你自己的基礎(chǔ)設(shè)施之前通過(guò)使用雙重認(rèn)證、智能卡和檢驗(yàn)證書(shū)對(duì)這兩者進(jìn)行驗(yàn)證;甚至在云和企業(yè)之間建立一個(gè)開(kāi)源虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)的安全鏈接。
在解決混合云安全性問(wèn)題時(shí),應(yīng)在專(zhuān)用基礎(chǔ)設(shè)施和云基礎(chǔ)設(shè)施之間從安全角度實(shí)現(xiàn)某一同等的水平目標(biāo)。如果這是不可能的,那么就可能需要定義數(shù)據(jù)集和系統(tǒng)的安全參數(shù),然后與云供應(yīng)商核實(shí),他們是否能夠遵守你的安全規(guī)格。請(qǐng)記住,某些如財(cái)務(wù)系統(tǒng)這樣的應(yīng)用程序還必須考慮與法規(guī)合規(guī)性相關(guān)的安全隱患。此外,一個(gè)組織積極主動(dòng)管理和影響其基于云的系統(tǒng)和應(yīng)用程序的安全性的能力將是一個(gè)關(guān)鍵的考慮因素。
混合云的安全性優(yōu)點(diǎn)和局限性
混合云提供了一個(gè)合適的“混合”計(jì)算資源,所以你可以在此基礎(chǔ)上構(gòu)建最高效和最符合成本效益的運(yùn)行環(huán)境。
混合云的一個(gè)示例就是NetApp和Amazon Web Services (AWS)的組合,其中AWS的NetApp Private Storage可讓企業(yè)構(gòu)建一個(gè)平衡專(zhuān)用資源和云資源的云基礎(chǔ)設(shè)施。另一個(gè)例子就是通過(guò)個(gè)別組織為多個(gè)市場(chǎng)提供系統(tǒng)與服務(wù)的一個(gè)組織(例如一家控股公司)。其中,每個(gè)組織都可能擁有其自身獨(dú)特的服務(wù)交付、存儲(chǔ)和網(wǎng)絡(luò)需求。
混合云的另一個(gè)優(yōu)點(diǎn)是提供了利用多個(gè)資源以實(shí)現(xiàn)你所需的服務(wù)和性能水平的機(jī)會(huì)。針對(duì)特定需求,你可獲得你所需的資源并只為這部分資源支付費(fèi)用。從理論上來(lái)說(shuō),如果有各種不同的應(yīng)用程序和其他的需求(如災(zāi)難恢復(fù)),那么這一點(diǎn)是非常有意義的,可通過(guò)改變每個(gè)解決方案以一個(gè)或多個(gè)云交付的方式來(lái)實(shí)現(xiàn)這一目標(biāo)。
但是,所有這些靈活性都是存在其缺點(diǎn)的。目前,混合云需要解決來(lái)自于安全性和管理方面的挑戰(zhàn),因?yàn)槟惚仨殞?duì)你所擁有的眾多資源進(jìn)行監(jiān)督。例如,在一個(gè)混合云和/或多個(gè)云環(huán)境中,往往存在著出現(xiàn)更多安全漏洞的機(jī)會(huì),這是因?yàn)樵谀愕木W(wǎng)絡(luò)和你的云供應(yīng)商的網(wǎng)絡(luò)中有著更多可供惡意代碼植入的“入口點(diǎn)”。即使假設(shè)你所使用的每一個(gè)云都擁有一流的安全和周邊保護(hù)措施,那也無(wú)法保證云與裝備資源之間的數(shù)據(jù)傳輸是真正安全的,除非你使用了一些我們之前所提及的選項(xiàng),例如鏈接云和企業(yè)網(wǎng)絡(luò)的VPN、強(qiáng)大的防火墻規(guī)則、強(qiáng)大的數(shù)據(jù)加密技術(shù)以及雙重認(rèn)證策略。
專(zhuān)業(yè)安全人士應(yīng)當(dāng)不斷地嘗試盡可能地減少他們網(wǎng)絡(luò)周邊的漏洞。使用混合云配置或簡(jiǎn)單地使用多個(gè)云只會(huì)增加周邊漏洞出現(xiàn)的可能性。你還可能需要多個(gè)管理系統(tǒng)用于監(jiān)督你所正在使用的不同云資產(chǎn)。這不僅可能會(huì)增加你的開(kāi)銷(xiāo),而且還可能導(dǎo)致難以監(jiān)控?cái)?shù)據(jù)流和跨網(wǎng)絡(luò)流量中的惡意代碼。
安全性是混合云和多個(gè)云環(huán)境所面對(duì)的挑戰(zhàn)的另一個(gè)原因是,一旦你在你的控制范圍以外遷移了系統(tǒng)和數(shù)據(jù),那么你將需要花費(fèi)大量功夫以確保云服務(wù)供應(yīng)商的安全控制措施是在保護(hù)著你的系統(tǒng)和數(shù)據(jù)的。如果只使用你自己的監(jiān)控工具,那可能還是不夠應(yīng)付需求的;你可能無(wú)法足夠地深入其他云“內(nèi)部”以便于主動(dòng)地監(jiān)控流量。
安全建議
從事先確定你的技術(shù)需求開(kāi)始入手,如存儲(chǔ)容量、網(wǎng)絡(luò)帶寬與延遲、以及足夠的工作負(fù)載處理能力。其次,確定你可能需要多少不同的云資源。看看你是否能夠在更少的云供應(yīng)商中通過(guò)集中多個(gè)工作負(fù)載和需求以減少云服務(wù)供應(yīng)商數(shù)量;事先為每個(gè)應(yīng)用程序定義你的安全需求;向云供應(yīng)商提供上述這些詳細(xì)信息以確保他們能夠滿足這些要求;確定什么樣的數(shù)據(jù)將進(jìn)行跨云服務(wù)的傳輸,并應(yīng)試圖最大限度地減少這些傳輸,因?yàn)檫@將為黑客和惡意代碼提供可乘之機(jī)。最后,審查云服務(wù)供應(yīng)商的安全能力,并確保他們能夠始終滿足你的各項(xiàng)需求,確保云服務(wù)供應(yīng)商在盡可能多的位置使用通過(guò)ICSA認(rèn)證的設(shè)備。
從企業(yè)環(huán)境中把正在虛擬機(jī)上運(yùn)行的一個(gè)現(xiàn)有應(yīng)用程序遷往位于公共云中的一個(gè)類(lèi)似虛擬機(jī)聽(tīng)上去像是一個(gè)可行的方法。例如,檢查一下云環(huán)境是否在運(yùn)行一個(gè)不同于Vmware的虛擬機(jī)管理程序。此外,確定你管理安全性的方法需要有些什么樣的變化,這是因?yàn)槟悻F(xiàn)在需要管理不止一個(gè)不屬于你的環(huán)境。
如果你能夠克服潛在的安全隱患,能夠解決資源管理、性能管理和網(wǎng)絡(luò)管理等方面的挑戰(zhàn),那么混合云對(duì)你是意義非凡的。在完美情況下,一個(gè)系統(tǒng)應(yīng)該在最合適的環(huán)境中運(yùn)行,其資源也是合適地匹配其工作的。當(dāng)然,前提條件就是混合云環(huán)境能夠在需要的時(shí)候提供所有所需的資源。
來(lái)源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
版權(quán)所有:中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號(hào)-2京公網(wǎng)安備11010502003583