混合云安全的经验教训
与往常一样,人们更愿意从别人身上学习,而不是从自己的错误中学习,尤其是在涉及安全方面。因此,随着混合云应用的广泛应用,其安全性越来越得到人们的关注。有关机构关于安全性对一些IT专家和安全专家进行了调查,并分享了他们的智慧。
一切都是新的……
人为错误是最终的安全漏洞:混合云时代仍然如此。在混合云架构中,安全风险和事件(甚至那些具有内在技术根源的事件)通常是企业的工作人员造成的。
混合云安全的经验教训ShoreGroup公司解决方案架构师兼安全业务负责人Ray Johansen表示:“混合云面临独特风险的主要原因是过度暴露或违反专有数据,而一些具体的例子表明其缺乏安全可见性或监督。”
例如,他列举了一个无意暴露客户名单的例子。尽管这个名单最终并未包含敏感数据,但当事企业的声誉仍然受到影响,其原因是缺乏监督和干预。
“尽管数据的过度曝光存在一些技术故障,但真正的失败来自组织对云计算服务的合法数据缺乏明确的策略,更重要的是被批准的组织策略是什么或如何验证服务提供商。”Johansen说。
如果没有这些政策和相应的监督,企业的员工几乎不可能理解他们正在采用的并最终负责保护的数据。
事实上,人们对“影子IT”有一些误解,影子IT是在没有IT知识或监督的情况下提供和使用的各种云服务,这实际上只是组织缺乏必要的政策和流程的一种工作方式。
Johansen说,“人们总是听到影子IT这个术语,但所有这些都是组织未能向其团队声明这些服务是企业不会消费的服务。”
“企业希望采用混合云,以获得市场竞争所需的敏捷性和运营效率。但是,企业通常依赖陈旧过时的工具或单独的隔离解决方案来保护每个单独环境中的数据安全。”Radware公司运营商战略和业务开发副总裁Mike O'Malley说,“过渡到混合云环境,需要企业对配置和解决方案进行投资,这些配置和解决方案将专门用于保护混合云,并管理跨多个环境的新数据安全。”
O'Malley认为实施自动化是关键,这是因为安全流程实现现代化和自动化是减少或限制那些人为错误的关键措施。
计算机设计和集成高级解决方案架构师Michael Colonno说:“自动化和编排是非常重要的,因为可以消除人为因素。这是因为实现安全性的所有重要和可重复的步骤都是在调配工作负载时自动设置的。”
例如,Colonno列举了几个企业或政府机构“忘记”加密公共云存储桶中的数据的多个示例,这些基本上是人为错误,并且可以实现自动化避免这些错误。
每个环境都需要关注从单一的同构的基础设施转向跨越私有云、公共云、传统本地数据中心环境的体系结构,可以提供更高的敏捷性、可扩展性和其他优势。但这也意味着企业的威胁面分布越来越广泛。这是现实,而不是借口。
“正在做这件事的组织已经评估了所有正在运行的环境,因此他们将有需要保护的完整清单。”Evident.io公司首席执行官兼共同创始人Tim Prendergast说,“他们正在构建整个组织的安全文化,并将重点放在保护数据上,而无论数据存储在哪里。”
这里的总体战略是确保适当的可见性和所有权。企业可以按照其认为合适的方式分配责任,但是每个环境都需要安全保护。
Prendergast分享了一个客户的例子:“我们的一个客户利用各种云服务,可以让那些已经开始在这些环境中工作的人知道他们如何寻求指导和最佳实践。”
保证传输过程的数据安全Qwyit公司创始人兼首席技术官Paul McGough指出,混合云安全通常也增加了不仅要求保护各种环境,而且要保证数据在这些环境之间移动时的安全需求。
“数据安全和加密的目标是确保它在传输和空闲时的安全控制。”McGough说,“数据传输的地方越多(例如在混合云环境中),就变得越困难。存储数据的地点越多,同样出现的问题也越多。因此,加密算法以及各种参与者的安全策略和实践的能力都很重要。”
加密和密钥管理确实很重要,但是企业的工具和流程仍然需要人为的监督和行动。
“这些加密技术一起提供数据保护、参与策略和实践,提供了系统的控制和保护。”McGough解释说。
云安全是一个过程,而不是事件在云计算的早期阶段,安全问题是企业采用云计算的最常见的阻碍。
随着云计算成为市场主流,企业从最初的恐惧可能会通过其安全心态的转变而产生积极的结果。特别是,智能混合云策略通常涉及事件驱动、补丁和快捷方法,并将安全作为实践和文化的持续发展的问题。
正如Infinitely Virtual公司首席执行官兼创始人Adam Stern所解释的那样,分散式云安全方法通常会修复问题,同时忽略数百甚至数千个等待被利用的其他漏洞。
“云安全并不像填写工作申请表那样简单,也不是检查选择框的问题。”Stern说,“企业采取零碎的安全措施永远不会奏效。修补漏洞或修复错误这些措施并不是制定有效安全策略的好办法。”
对于混合云和多云环境,这意味着企业需要深入了解供应商的安全功能,特别是对于初学者来说。Stern表示,“任何值得信任的提供者都会为安全任务提供经过时间考验的工具、程序和技术。”
Stern表示,这并不能免除企业的责任:混合云安全需要企业采用一种积极警惕的心态,能够消除漏洞,并缓解威胁。