共计 2475 个字符,预计需要花费 7 分钟才能阅读完成。
混合云平安曾经通过一段时间的倒退。云计算带来了各种维度,这些维度须要一种办法来扩大以后的政策、实际和技能。必须采取以企业为核心的视图,以实现集中可见性、爱护管制和管制危险。
图中列表与下文中的形容统一。
1、安全策略
领有公有云和公共云环境(混合云和多云)的企业应明确定义云安全策略以监控和执行爱护管制。该政策应涵盖监管合规要求(例如 PCI、HIPAA、ISO、FFIEC、GDPR、政府或国家级要求等)、企业管制、数据驻留、隐衷评估的需要。
他们应依据云服务提供商定义的共享责任模型和必须纳入的客户团队责任来确定覆盖范围。监管政策一直变动,企业危险和合规团队必须监控、评估和整合这些变动。
2、网络弹性打算
企业还应将其网络弹性打算扩大到云。他们必须思考针对云环境的额定响应计划。危险管理人员应在打算中包含频繁的进攻性测试、桌面练习、员工教育,并将所有云环境纳入其中。
3、平安互连
领有多个公有数据中心设施的企业将通过反对电信的网络连接在它们之间实现平安连贯。强烈建议从数据中心扩大反对电信的连贯,利用云原生连贯,例如(间接连贯、疾速路由)以及 Equinix 等互连地位。
连贯办法将反对公有云和公共云之间的平安传输。在互连处启用深度数据包查看能够提供额定的保障,以监控和治理受信赖和不受信赖区域之间的连贯和流量治理。
通过这种办法,通过企业标识和拜访管理工具扩大用户拜访权限将失去简化。对漫游用户连贯到云和公有云环境的额定监控将增强企业监控。
4、爱护管制立体
云服务提供商管制立体或门户是危险面之一。主账户和其余高级特权账户能够拜访在云本地启用的计算、存储元素、数据、格局模板、安全性和合规性配置。
对管制立体领有更高权限的用户能够在挪动部门或来到公司时领有雷同的拜访权限。如果用户是歹意的或意外删除、批改了基于云的资产,对用户的这种拜访可能会使企业面临危险。
企业应该理解所有签约的云服务提供商和相干的管制立体。危险管理人员应保存云服务提供商提供的主帐户。平安管理人员应仅通过公司 ID 严格管理启用具备较高权限的集体。
用户的入职和到职必须依照安全策略的定义进行治理。踊跃待业和继续业务须要拜访,或者晋升特权必须常常审查。强烈建议应用多因素身份验证并扩大到企业身份以升高危险。
也倡议应用 Privileged-id 治理和监控其应用状况,以跟踪用户行为并避免对云资源的无心删除或批改。
5、爱护数据立体
除了反对第三方供应商提供商平安工具之外,云服务提供商还反对原生云平安性能。每个云服务提供商都在这些性能上都有细微差别;它们被深刻到工作负载部署办法的自动化过程中。
迄今为止产生的大多数数据泄露事件都是云配置谬误造成的。VPC、平安组、IAM 管制、密钥治理服务等性能的配置由客户端负责。
它们必须依据工作负载部署进行适当设计,并继续监控与设计标准的任何偏差,并应立即采取纠正措施。
云原生平安性能是服务提供商反对的相似产品的个性。这些是云环境构造的一部分。须要业余的云服务提供商常识来启用、创立、执行策略并继续监控它们。所以倡议对利用程序开发和平安团队的技能开发进行投资。
6、卫生监控和补救
不足根本卫生是利用混合多云环境的企业的最高危险因素。卫生的定义范畴从辨认为 COTS 软件(操作系统、应用程序、中间件)的一部分的破绽、自定义应用程序、拜访管理控制、依据公司安全策略进行的零碎强化。
作为公司政策的一部分,应依据基于危险的破绽排名继续监控卫生状况和适当的破绽治理、对零日破绽施行二级管制、辨认操作系统上的偏差、应用程序级强化并通过自动化立刻修复它们。
7、集成的平安和合规治理
云管制立体、工作负载、应用程序的平安和合规是相互交织的。必须以自动化和集成的形式监控和评估本机到云配置和工作负载配置的所有资产、合规性情况。监控、漂移剖析并利用补救措施来保护环境,同时利用补救措施来证实环境的合规性状态。
11、监控自动化
应用造成模板进行自动化部署,应用云服务提供商性能、元服务、API、微服务、拜访调配和密钥监控和治理云原生的工作负载是云构造的一部分。
倡议企业为这些服务启用审计日志记录。平安经营管理者应将来自这些起源的遥测数据汇总到反对云服务提供商的平安剖析平台或客户端 SIEM,以检测和治理异样流动。
利用自动化来监控和治理自动化。利用 SRE、Chaos Monkey、浸透测试等技术一直查看自动化和实用程序。
12、左移
翻新、应用程序现代化、疾速利用程序开发和部署的产生次要归功于业务部门决策和负责 BU 的 DevOps 团队。
DevOps 团队次要专一于通过云可用性能、开源实用程序、采纳继续集成 / 继续交付工具来改良应用程序加强。综合安全性和合规性尚未思考或纳入该办法。
DevOps 团队还可能假如云提供的基础架构足以保障平安,并且次要集中在应用层管制上。在工作负载剖析期间,倡议企业理解新构建或将工作负载迁徙到云的应用程序安全性、公司合规性、法规合规性和隐衷要求。客户必须评估共享责任,即作为云的一部分内置,由客户增加以满足需要。
部署在公共云中的工作负载必须利用云配置、原生云平安性能或第三方供应商产品来爱护,即便在开发 / 测试 / 预生产模式下也是如此。
13、人与文化
只有当人的文化、流程和工具失去加强并适应采纳云环境带来的细微差别时,以上所有才可能实现。开发人员应采纳平安设计或威逼建模概念来辨认生命周期晚期的破绽,以便他们能够在部署易受攻击的应用程序之前对其进行补救。保持严格的卫生和审慎应用云配置将有助于团队防止意外的数据泄露。
14、专一于技能晋升
云和云平安为行业现有的技能差距带来了另一个维度。在整合云配置、利用本地到云提供的平安性能时,须要具备深厚的云服务提供商环境专业知识。
进入云计算畛域的企业应该投资于进步现有员工的技能,或者通过打算来获取技能纯熟的员工,以布局的形式将他们整合到以后的团队中。
必须向团队提供适当的培训,让他们在利用特定云服务提供商规范的同时,利用企业定义的规范。
通过利用这些领导准则,大多数危险都会失去缓解。随着混合云的进一步倒退,能够在这些根本准则的根底上构建其余准则。
