如果你的組織正在考慮使用或者已經(jīng)在使用云服務(wù)�,那么你可能正在使用若干云部署模型中的一個(gè)。
首先是公共云�,在公共云中云服務(wù)是通過(guò)公共互聯(lián)網(wǎng)提供的。其次是私有云�,其基礎(chǔ)設(shè)施是專為單一組織的專一性使用而設(shè)計(jì)的,同時(shí)通常也是由該組織對(duì)基礎(chǔ)設(shè)施進(jìn)行托管和管理��。社區(qū)云則是為一組用戶的專一使用而配置的��,這些用戶擁有共同的商業(yè)利益和運(yùn)營(yíng)問(wèn)題(例如安全性或合規(guī)性要求等)��。
最后�����,就是混合云了��,根據(jù)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)SP 800-145中的定義�����,混合云是“兩個(gè)或兩個(gè)以上保持各自實(shí)體獨(dú)立性的不同云基礎(chǔ)設(shè)施(私有云�����、社區(qū)云或公共云)形成的一個(gè)組合��,該組合采用的標(biāo)準(zhǔn)或?qū)S眉夹g(shù)可實(shí)現(xiàn)數(shù)據(jù)和應(yīng)用程序的可移植性[例如��,云之間的針對(duì)云資源使用高峰而使用的負(fù)載平衡技術(shù)]�。”
混合云實(shí)際上是公共云和私有云之間的一個(gè)妥協(xié)產(chǎn)物:它們可提供“世界上最好的特性”�����,例如公共云聚集資源的靈活性和可用性��,以及私有云的服務(wù)與專門安全規(guī)定����。在本文中,我們將逐一介紹企業(yè)混合云安全性的最佳實(shí)踐�。
混合云的安全性問(wèn)題
在混合云環(huán)境中,必須在多個(gè)角度上解決安全性問(wèn)題��。例如,必須在數(shù)據(jù)移入和移出云的位置解決安全性問(wèn)題���;對(duì)于駐留在云中的數(shù)據(jù)也必須考慮其安全性問(wèn)題�。在主要的安全性控制措施中����,數(shù)據(jù)加密技術(shù)就是其中之一。在具體實(shí)施之前���,用戶應(yīng)決定是否對(duì)存儲(chǔ)狀態(tài)和傳輸狀態(tài)的數(shù)據(jù)進(jìn)行加密��,然后再調(diào)查云供應(yīng)商是否能夠接受你的加密需求�。其他額外的安全性考慮還包括:確定防火墻和其他安全設(shè)備是否需經(jīng)過(guò)ICSA認(rèn)證�;確保本地?cái)?shù)據(jù)中心的服務(wù)和應(yīng)用程序的安全性;為鏈接至云的應(yīng)用程序提供安全措施��;確保存儲(chǔ)在一個(gè)以上云環(huán)境中的數(shù)據(jù)都是安全的��;以及確保移動(dòng)設(shè)備與你的混合云之間連接的安全性����。實(shí)現(xiàn)以上這些目標(biāo)的技術(shù)包括:更新和強(qiáng)化防火墻規(guī)則�;擴(kuò)展使用入侵檢測(cè)系統(tǒng)和其他的網(wǎng)絡(luò)監(jiān)控設(shè)備以確定在傳輸過(guò)程中是否存在著的潛在惡意代碼��;審查更新訪問(wèn)策略與權(quán)限以防止未經(jīng)授權(quán)的訪問(wèn)�;在鏈接云資源和你自己的基礎(chǔ)設(shè)施之前通過(guò)使用雙重認(rèn)證���、智能卡和檢驗(yàn)證書(shū)對(duì)這兩者進(jìn)行驗(yàn)證��;甚至在云和企業(yè)之間建立一個(gè)開(kāi)源虛擬專用網(wǎng)絡(luò)(VPN)的安全鏈接����。
在解決混合云安全性問(wèn)題時(shí)���,應(yīng)在專用基礎(chǔ)設(shè)施和云基礎(chǔ)設(shè)施之間從安全角度實(shí)現(xiàn)某一同等的水平目標(biāo)�����。如果這是不可能的���,那么就可能需要定義數(shù)據(jù)集和系統(tǒng)的安全參數(shù),然后與云供應(yīng)商核實(shí)��,他們是否能夠遵守你的安全規(guī)格��。請(qǐng)記住����,某些如財(cái)務(wù)系統(tǒng)這樣的應(yīng)用程序還必須考慮與法規(guī)合規(guī)性相關(guān)的安全隱患�����。此外��,一個(gè)組織積極主動(dòng)管理和影響其基于云的系統(tǒng)和應(yīng)用程序的安全性的能力將是一個(gè)關(guān)鍵的考慮因素����。
混合云的安全性優(yōu)點(diǎn)和局限性
混合云提供了一個(gè)合適的“混合”計(jì)算資源�,所以你可以在此基礎(chǔ)上構(gòu)建最高效和最符合成本效益的運(yùn)行環(huán)境。
混合云的一個(gè)示例就是NetApp和Amazon Web Services (AWS)的組合��,其中AWS的NetApp Private Storage可讓企業(yè)構(gòu)建一個(gè)平衡專用資源和云資源的云基礎(chǔ)設(shè)施���。另一個(gè)例子就是通過(guò)個(gè)別組織為多個(gè)市場(chǎng)提供系統(tǒng)與服務(wù)的一個(gè)組織(例如一家控股公司)���。其中,每個(gè)組織都可能擁有其自身獨(dú)特的服務(wù)交付����、存儲(chǔ)和網(wǎng)絡(luò)需求��。
混合云的另一個(gè)優(yōu)點(diǎn)是提供了利用多個(gè)資源以實(shí)現(xiàn)你所需的服務(wù)和性能水平的機(jī)會(huì)。針對(duì)特定需求�,你可獲得你所需的資源并只為這部分資源支付費(fèi)用。從理論上來(lái)說(shuō)���,如果有各種不同的應(yīng)用程序和其他的需求(如災(zāi)難恢復(fù))���,那么這一點(diǎn)是非常有意義的,可通過(guò)改變每個(gè)解決方案以一個(gè)或多個(gè)云交付的方式來(lái)實(shí)現(xiàn)這一目標(biāo)���。
但是�,所有這些靈活性都是存在其缺點(diǎn)的�。目前,混合云需要解決來(lái)自于安全性和管理方面的挑戰(zhàn)�����,因?yàn)槟惚仨殞?duì)你所擁有的眾多資源進(jìn)行監(jiān)督�����。例如��,在一個(gè)混合云和/或多個(gè)云環(huán)境中���,往往存在著出現(xiàn)更多安全漏洞的機(jī)會(huì)�,這是因?yàn)樵谀愕木W(wǎng)絡(luò)和你的云供應(yīng)商的網(wǎng)絡(luò)中有著更多可供惡意代碼植入的“入口點(diǎn)”。即使假設(shè)你所使用的每一個(gè)云都擁有一流的安全和周邊保護(hù)措施���,那也無(wú)法保證云與裝備資源之間的數(shù)據(jù)傳輸是真正安全的����,除非你使用了一些我們之前所提及的選項(xiàng)��,例如鏈接云和企業(yè)網(wǎng)絡(luò)的VPN����、強(qiáng)大的防火墻規(guī)則、強(qiáng)大的數(shù)據(jù)加密技術(shù)以及雙重認(rèn)證策略��。
專業(yè)安全人士應(yīng)當(dāng)不斷地嘗試盡可能地減少他們網(wǎng)絡(luò)周邊的漏洞�����。使用混合云配置或簡(jiǎn)單地使用多個(gè)云只會(huì)增加周邊漏洞出現(xiàn)的可能性��。你還可能需要多個(gè)管理系統(tǒng)用于監(jiān)督你所正在使用的不同云資產(chǎn)�����。這不僅可能會(huì)增加你的開(kāi)銷����,而且還可能導(dǎo)致難以監(jiān)控?cái)?shù)據(jù)流和跨網(wǎng)絡(luò)流量中的惡意代碼。
安全性是混合云和多個(gè)云環(huán)境所面對(duì)的挑戰(zhàn)的另一個(gè)原因是���,一旦你在你的控制范圍以外遷移了系統(tǒng)和數(shù)據(jù)���,那么你將需要花費(fèi)大量功夫以確保云服務(wù)供應(yīng)商的安全控制措施是在保護(hù)著你的系統(tǒng)和數(shù)據(jù)的。如果只使用你自己的監(jiān)控工具�����,那可能還是不夠應(yīng)付需求的���;你可能無(wú)法足夠地深入其他云“內(nèi)部”以便于主動(dòng)地監(jiān)控流量��。
安全建議
從事先確定你的技術(shù)需求開(kāi)始入手��,如存儲(chǔ)容量�、網(wǎng)絡(luò)帶寬與延遲�����、以及足夠的工作負(fù)載處理能力。其次�,確定你可能需要多少不同的云資源??纯茨闶欠衲軌蛟诟俚脑乒?yīng)商中通過(guò)集中多個(gè)工作負(fù)載和需求以減少云服務(wù)供應(yīng)商數(shù)量;事先為每個(gè)應(yīng)用程序定義你的安全需求��;向云供應(yīng)商提供上述這些詳細(xì)信息以確保他們能夠滿足這些要求����;確定什么樣的數(shù)據(jù)將進(jìn)行跨云服務(wù)的傳輸,并應(yīng)試圖最大限度地減少這些傳輸��,因?yàn)檫@將為黑客和惡意代碼提供可乘之機(jī)����。最后,審查云服務(wù)供應(yīng)商的安全能力�����,并確保他們能夠始終滿足你的各項(xiàng)需求���,確保云服務(wù)供應(yīng)商在盡可能多的位置使用通過(guò)ICSA認(rèn)證的設(shè)備����。
從企業(yè)環(huán)境中把正在虛擬機(jī)上運(yùn)行的一個(gè)現(xiàn)有應(yīng)用程序遷往位于公共云中的一個(gè)類似虛擬機(jī)聽(tīng)上去像是一個(gè)可行的方法。例如�����,檢查一下云環(huán)境是否在運(yùn)行一個(gè)不同于Vmware的虛擬機(jī)管理程序����。此外���,確定你管理安全性的方法需要有些什么樣的變化���,這是因?yàn)槟悻F(xiàn)在需要管理不止一個(gè)不屬于你的環(huán)境。
如果你能夠克服潛在的安全隱患�����,能夠解決資源管理��、性能管理和網(wǎng)絡(luò)管理等方面的挑戰(zhàn)��,那么混合云對(duì)你是意義非凡的�����。在完美情況下,一個(gè)系統(tǒng)應(yīng)該在最合適的環(huán)境中運(yùn)行��,其資源也是合適地匹配其工作的���。當(dāng)然�����,前提條件就是混合云環(huán)境能夠在需要的時(shí)候提供所有所需的資源��。
來(lái)源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056��。
延伸閱讀
