如果你的組織正在考慮使用或者已經(jīng)在使用云服務(wù)���,那么你可能正在使用若干云部署模型中的一個�。
首先是公共云�����,在公共云中云服務(wù)是通過公共互聯(lián)網(wǎng)提供的����。其次是私有云,其基礎(chǔ)設(shè)施是專為單一組織的專一性使用而設(shè)計的�����,同時通常也是由該組織對基礎(chǔ)設(shè)施進行托管和管理�。社區(qū)云則是為一組用戶的專一使用而配置的���,這些用戶擁有共同的商業(yè)利益和運營問題(例如安全性或合規(guī)性要求等)����。
最后��,就是混合云了,根據(jù)國家標準和技術(shù)研究院(NIST)SP 800-145中的定義��,混合云是“兩個或兩個以上保持各自實體獨立性的不同云基礎(chǔ)設(shè)施(私有云�、社區(qū)云或公共云)形成的一個組合,該組合采用的標準或?qū)S眉夹g(shù)可實現(xiàn)數(shù)據(jù)和應(yīng)用程序的可移植性[例如��,云之間的針對云資源使用高峰而使用的負載平衡技術(shù)]�����?�!?br>
混合云實際上是公共云和私有云之間的一個妥協(xié)產(chǎn)物:它們可提供“世界上最好的特性”����,例如公共云聚集資源的靈活性和可用性,以及私有云的服務(wù)與專門安全規(guī)定�。在本文中,我們將逐一介紹企業(yè)混合云安全性的最佳實踐�。
混合云的安全性問題
在混合云環(huán)境中,必須在多個角度上解決安全性問題����。例如,必須在數(shù)據(jù)移入和移出云的位置解決安全性問題;對于駐留在云中的數(shù)據(jù)也必須考慮其安全性問題���。在主要的安全性控制措施中�,數(shù)據(jù)加密技術(shù)就是其中之一��。在具體實施之前���,用戶應(yīng)決定是否對存儲狀態(tài)和傳輸狀態(tài)的數(shù)據(jù)進行加密���,然后再調(diào)查云供應(yīng)商是否能夠接受你的加密需求。其他額外的安全性考慮還包括:確定防火墻和其他安全設(shè)備是否需經(jīng)過ICSA認證����;確保本地數(shù)據(jù)中心的服務(wù)和應(yīng)用程序的安全性;為鏈接至云的應(yīng)用程序提供安全措施��;確保存儲在一個以上云環(huán)境中的數(shù)據(jù)都是安全的��;以及確保移動設(shè)備與你的混合云之間連接的安全性��。實現(xiàn)以上這些目標的技術(shù)包括:更新和強化防火墻規(guī)則����;擴展使用入侵檢測系統(tǒng)和其他的網(wǎng)絡(luò)監(jiān)控設(shè)備以確定在傳輸過程中是否存在著的潛在惡意代碼;審查更新訪問策略與權(quán)限以防止未經(jīng)授權(quán)的訪問�;在鏈接云資源和你自己的基礎(chǔ)設(shè)施之前通過使用雙重認證、智能卡和檢驗證書對這兩者進行驗證���;甚至在云和企業(yè)之間建立一個開源虛擬專用網(wǎng)絡(luò)(VPN)的安全鏈接���。
在解決混合云安全性問題時,應(yīng)在專用基礎(chǔ)設(shè)施和云基礎(chǔ)設(shè)施之間從安全角度實現(xiàn)某一同等的水平目標���。如果這是不可能的���,那么就可能需要定義數(shù)據(jù)集和系統(tǒng)的安全參數(shù),然后與云供應(yīng)商核實�,他們是否能夠遵守你的安全規(guī)格。請記住�,某些如財務(wù)系統(tǒng)這樣的應(yīng)用程序還必須考慮與法規(guī)合規(guī)性相關(guān)的安全隱患。此外��,一個組織積極主動管理和影響其基于云的系統(tǒng)和應(yīng)用程序的安全性的能力將是一個關(guān)鍵的考慮因素�����。
混合云的安全性優(yōu)點和局限性
混合云提供了一個合適的“混合”計算資源��,所以你可以在此基礎(chǔ)上構(gòu)建最高效和最符合成本效益的運行環(huán)境。
混合云的一個示例就是NetApp和Amazon Web Services (AWS)的組合���,其中AWS的NetApp Private Storage可讓企業(yè)構(gòu)建一個平衡專用資源和云資源的云基礎(chǔ)設(shè)施���。另一個例子就是通過個別組織為多個市場提供系統(tǒng)與服務(wù)的一個組織(例如一家控股公司)。其中���,每個組織都可能擁有其自身獨特的服務(wù)交付�����、存儲和網(wǎng)絡(luò)需求��。
混合云的另一個優(yōu)點是提供了利用多個資源以實現(xiàn)你所需的服務(wù)和性能水平的機會��。針對特定需求���,你可獲得你所需的資源并只為這部分資源支付費用。從理論上來說����,如果有各種不同的應(yīng)用程序和其他的需求(如災(zāi)難恢復(fù)),那么這一點是非常有意義的�����,可通過改變每個解決方案以一個或多個云交付的方式來實現(xiàn)這一目標�����。
但是�,所有這些靈活性都是存在其缺點的。目前����,混合云需要解決來自于安全性和管理方面的挑戰(zhàn),因為你必須對你所擁有的眾多資源進行監(jiān)督��。例如���,在一個混合云和/或多個云環(huán)境中���,往往存在著出現(xiàn)更多安全漏洞的機會,這是因為在你的網(wǎng)絡(luò)和你的云供應(yīng)商的網(wǎng)絡(luò)中有著更多可供惡意代碼植入的“入口點”����。即使假設(shè)你所使用的每一個云都擁有一流的安全和周邊保護措施,那也無法保證云與裝備資源之間的數(shù)據(jù)傳輸是真正安全的�,除非你使用了一些我們之前所提及的選項����,例如鏈接云和企業(yè)網(wǎng)絡(luò)的VPN���、強大的防火墻規(guī)則��、強大的數(shù)據(jù)加密技術(shù)以及雙重認證策略�����。
專業(yè)安全人士應(yīng)當(dāng)不斷地嘗試盡可能地減少他們網(wǎng)絡(luò)周邊的漏洞��。使用混合云配置或簡單地使用多個云只會增加周邊漏洞出現(xiàn)的可能性�。你還可能需要多個管理系統(tǒng)用于監(jiān)督你所正在使用的不同云資產(chǎn)����。這不僅可能會增加你的開銷,而且還可能導(dǎo)致難以監(jiān)控數(shù)據(jù)流和跨網(wǎng)絡(luò)流量中的惡意代碼�。
安全性是混合云和多個云環(huán)境所面對的挑戰(zhàn)的另一個原因是,一旦你在你的控制范圍以外遷移了系統(tǒng)和數(shù)據(jù)��,那么你將需要花費大量功夫以確保云服務(wù)供應(yīng)商的安全控制措施是在保護著你的系統(tǒng)和數(shù)據(jù)的����。如果只使用你自己的監(jiān)控工具���,那可能還是不夠應(yīng)付需求的;你可能無法足夠地深入其他云“內(nèi)部”以便于主動地監(jiān)控流量��。
安全建議
從事先確定你的技術(shù)需求開始入手��,如存儲容量�、網(wǎng)絡(luò)帶寬與延遲��、以及足夠的工作負載處理能力����。其次,確定你可能需要多少不同的云資源�����?����?纯茨闶欠衲軌蛟诟俚脑乒?yīng)商中通過集中多個工作負載和需求以減少云服務(wù)供應(yīng)商數(shù)量���;事先為每個應(yīng)用程序定義你的安全需求��;向云供應(yīng)商提供上述這些詳細信息以確保他們能夠滿足這些要求�;確定什么樣的數(shù)據(jù)將進行跨云服務(wù)的傳輸,并應(yīng)試圖最大限度地減少這些傳輸��,因為這將為黑客和惡意代碼提供可乘之機����。最后,審查云服務(wù)供應(yīng)商的安全能力����,并確保他們能夠始終滿足你的各項需求,確保云服務(wù)供應(yīng)商在盡可能多的位置使用通過ICSA認證的設(shè)備�����。
從企業(yè)環(huán)境中把正在虛擬機上運行的一個現(xiàn)有應(yīng)用程序遷往位于公共云中的一個類似虛擬機聽上去像是一個可行的方法���。例如�,檢查一下云環(huán)境是否在運行一個不同于Vmware的虛擬機管理程序���。此外�,確定你管理安全性的方法需要有些什么樣的變化�����,這是因為你現(xiàn)在需要管理不止一個不屬于你的環(huán)境。
如果你能夠克服潛在的安全隱患�����,能夠解決資源管理����、性能管理和網(wǎng)絡(luò)管理等方面的挑戰(zhàn)�����,那么混合云對你是意義非凡的�����。在完美情況下��,一個系統(tǒng)應(yīng)該在最合適的環(huán)境中運行���,其資源也是合適地匹配其工作的�。當(dāng)然���,前提條件就是混合云環(huán)境能夠在需要的時候提供所有所需的資源���。
來源:CIO時代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場���。版權(quán)事宜請聯(lián)系:010-65363056���。
延伸閱讀
