混合雲環境下(xià)安全七步驟

現(xiàn)代企業(yè)基本沒有(yǒu)完全雲端化 '÷(huà)或壓根兒(ér)不(bù)用(yòng)雲σ‌₩♥的(de)，随著(zhe)幾乎每家(jiā)公司都(>"'>dōu)朝著(zhe)在業(yè)務中引入雲的(de)方 "α•向發展，融合了(le)雲服務、雲基礎設施和(hé​δ​)公司現(xiàn)場(chǎng)技(jì)術(shù)≠→π 的(de)混合環境，便是(shì)如(rú)今大(dà)多(duō)¥¥ ♦數(shù)公司的(de)實際情況。

微(wēi)軟《2017混合雲情況》報(♦→bào)告顯示，約2/3的(de)公司承認自(γ '±zì)身(shēn)運營在混合雲環境上(shàng)，另♦♦γ£有(yǒu)18%的(de)公司其IT環 ∑↕€境可(kě)被歸類為(wèi)混合雲。

混合環境正在成為(wèi)雲的(de)默認用(yòng)例，可(kě)以用(≈γ$yòng)“實用(yòng)混α ★←合雲”(公共雲和(hé)私有 ← (yǒu)雲基礎設施的(de)混合)這(zhè)個(gè"₩)詞來(lái)區(qū)分(fēn)企業(yè)IT的εσ(de)混亂現(xiàn)狀與混合雲的(de)規→$←&範定義。并且有(yǒu)人(rén)認為(wèi)，實用α↕'​(yòng)混合雲是(shì)當前的(de)趨勢。

融合了(le)公司內(nèi)部網絡和(h™¥βé)雲服務的(de)IT環境一(yī)般都(d₹♥§•ōu)比較混亂，難以保證安全。專家(jiā)稱，公司企業δ∞↑(yè)需抽象出一(yī)定的(de)方法來(lái)保護其IT環境安全，并Ω∑↕≤簡化(huà)基礎設施以方便安全措施的(de)部署。±® 下(xià)面列出的(de)就(jiù)是(shì)可(k‌✘®€ě)以更好(hǎo)地(dì)防護混合環境的(de)7個(g←☆>è)步驟：

1. 新建項目并進行(xíng)叠代

很(hěn)多(duō)公司最大(dà)的(de)混合雲問(wèn)題就( φ×jiù)是(shì)攤子(zǐ)鋪得(de)太大(dà)，鋪得(de)太快​✔(kuài)，造成安全被甩在身(shēn)後望塵莫↕ ↕♣及的(de)狀況。有(yǒu)些(xiē)公司連試水(shuǐ↕☆)過程都(dōu)省了(le)，直接全面鋪開(kāi)，恨不(b×α↕ ù)得(de)一(yī)口吃(chī)成胖&₹子(zǐ)，結果卻是(shì)雲項目開(kāi)展得(de)萬般掙紮。

比如(rú)說(shuō)，管理(lǐ)層直接定調：我們要(yào)‍♦β​邁向雲;然而，安全策略上(shàng)的(de)中♦∞"央管理(lǐ)措施卻根本沒到(dào)位。其結果，隻會(huì)是(shì)雲₩≥ 項目演變為(wèi)巨大(dà)而醜陋的(de)一(yī)團糟。

最好(hǎo)是(shì)完全新建一(yī)個(gè)項目，而不λ≤ (bù)是(shì)将原有(yǒu)內(nè✘₽i)部應用(yòng)轉移到(dào)雲端。雖然很(hěn)多(du←₹λō)雲安全提供商關注資産盤點，但(dàn♠∞✔₩)真的(de)有(yǒu)可(kě)能(néng↕‍←α)發現(xiàn)公司的(de)所有(yǒu)資産嗎(♦φ$ma)?而且，作(zuò)為(wèi)起步工 ×(gōng)作(zuò)，遷移原有(yǒu)應用(yòn₽≠δg)的(de)工(gōng)程量過于龐大(dà$∞)了(le)。

最明(míng)智的(de)方法，莫過于從(cóng)能(néng)搞定的δ>®(de)工(gōng)作(zuò)量開(kāi)始。

2. 别指望你(nǐ)的(de)網絡和(hé)雲是(shì)安全的(deπ↑↔)

大(dà)多(duō)數(shù)公司已經開(kāi)始擔心≥δ≥★數(shù)據在雲端的(de)安全程度了(le)。但(dàn)₩∞ 也(yě)正是(shì)這(zhè)些(xiē)公司，​≤'依然假定自(zì)己內(nèi)部基礎設施中§↓的(de)數(shù)據就(jiù)不(bù)β©↑會(huì)遭到(dào)攻擊者染指。

然而，不(bù)得(de)不(bù)承認，攻擊者總會(huì)在某個(gè÷≠)時(shí)候進入原以為(wèi)安全的(deε∞©)內(nèi)部網絡的(de)。

公司企業(yè)在安全認知(zhī)上(shàng)的(de)最大(dà)錯(↓ cuò)誤，就(jiù)是(shì)以為(wèi)內(nèi)部環境¥¥是(shì)安全的(de)。這(zhè)一(yī)點已經×φ¶被Equifax、塔吉特等公司證明(míng)過了(le)。

當人(rén)們認為(wèi)自(zì)己運營在混合環境中時≈<γ(shí)，他(tā)們就(jiù)已經偏離(lí)了(le)正确的(de)認±™知(zhī)路(lù)線。正确的(de)₽♣假定應該是(shì)：我擁有(yǒu)的(de)所有(yǒu)東(dōng)↓∏西(xī)都(dōu)暴露在互聯網面前，&®必須在零信任環境中運營。

零信任思維應在應用(yòng)程序上(shàng)有(yǒu)★< ₹所反映，所有(yǒu)應用(yòng)程序都(dōu)應驗證來(l">ái)自(zì)其他(tā)App的(d♠↓"γe)全部通(tōng)信。

3. 重點保護最重要(yào)的(de)資産≤✔——數(shù)據

随著(zhe)設備的(de)激增，業(yè)務•±數(shù)據可(kě)存儲的(de)地π₽↔§(dì)點數(shù)量也(yě)呈指數(shù)級上(shàng>∞®)漲，從(cóng)40年(nián)前的(de)大(dà)型機(jπγ✘♥ī)，到(dào)30年(nián)前的(de)PC，到(dào)最近(jìn​♥↓)10年(nián)的(de)移動設備和(hé)雲。

然而，數(shù)據還(hái)是(shì)那(nà)些(xiē)數(s>αhù)據，無論數(shù)據位于何處，必須保證數(shù)據安☆ε全，壞人(rén)對(duì)數(shù)據的(de)觊觎之心ε¥♠₽從(cóng)未減弱過。

很(hěn)多(duō)公司試圖通(tōng)過網絡控<≈←≈制(zhì)限制(zhì)對(duì)信息的(de)訪問(wèn£≈)，以保護數(shù)據安全。但(dàn)在混合環境下(xià)，以網↓•★☆絡為(wèi)中心的(de)模式毫無意義。

必須專注于真正關心的(de)東(dōng)西(xī)，♥¶也(yě)就(jiù)是(shì)數(shù)據。數(shù)據' ™才是(shì)公司最重要(yào)的(de)資産，網絡和(hé)設備都✔♦÷(dōu)不(bù)是(shì)最重要(yào)的(de)，你(nǐ)的€→∞(de)數(shù)據才是(shì)。最好(hǎ"© o)的(de)CISO會(huì)假定整個(g σ ‍è)環境都(dōu)已被感染，在這(zhè)種前提下(xià)☆$♥λ進行(xíng)數(shù)據防護。

4. 簡化(huà)身(shēn)份并使用(yòng)單點±♣‍≠登錄技(jì)術(shù)

員(yuán)工(gōng)在工(gōng)£<作(zuò)中平均使用(yòng)36個(gè)雲服務。想要(yào)減少(s$∞£hǎo)公司混合雲和(hé)內(nèi)部環境中的(de)複雜(z$"δ&á)性，就(jiù)應該盡可(kě)能(néng)地(dì)整合這(zhè)​♥些(xiē)身(shēn)份。

大(dà)多(duō)數(shù)雲提供商，比如♣↕≈&(rú)AWS和(hé)微(wēi)軟的✔®‍ (de)Azure，都(dōu)提供整合用(yòng)戶身(s®♠$hēn)份的(de)途徑。身(shēn)份管理γ♣<$(lǐ)提供商也(yě)會(huì)給用(yòn↓βg)戶統一(yī)的(de)門(mén)戶來(lái)接入各個(gσ ↕è)企業(yè)服務。這(zhè)些(xiē)功能(≈​​néng)都(dōu)可(kě)以讓公司企業(yè)規範其訪問(w♣≠÷èn)控制(zhì)。

聯合身(shēn)份無疑非常重要(yào)。你(πγ↕nǐ)或許不(bù)會(huì)想做(zuò)什(shén)麽瘋狂→<的(de)舉動，但(dàn)一(yī)定會(huì)想買✔•個(gè)聯合身(shēn)份代理(lǐ)。大(dà)多(d£Ω‌$uō)數(shù)人(rén)都(dōu)希望能(né★∏ng)從(cóng)一(yī)個(gè)Web門(mén)戶登入其環境。

不(bù)過，别指望将內(nèi)部身(shēn)份與雲身(shēn)份捆綁φ↔↑↓到(dào)一(yī)起，除非有(yǒu)什(shén)麽簡易的(de)措≈¥施。內(nèi)部應用(yòng)依然保持≤★>>內(nèi)部，用(yòng)一(yī)直以來(lái•‍)的(de)方式管理(lǐ)就(jiù)行€β∞€(xíng)。

5. 以可(kě)見(jiàn)性來(lái)安全有(yǒu)效地©→(dì)管理(lǐ)雲

除了(le)整合身(shēn)份和(hé)保持一(yī)緻的(de)數(πππ₩shù)據防護，公司企業(yè)還(hái)需知(zhī)曉各種應用(yòng≥♦₹)連接工(gōng)作(zuò)流的(de)方式，也(yě)就(jiù)✔Ω♣是(shì)擁有(yǒu)對(duì)連接的(d♦Ωe)可(kě)見(jiàn)性。

知(zhī)道(dào)誰在哪些(xiē)數(shù•≥™™)據上(shàng)執行(xíng)什(shén)麽 '₩γ工(gōng)作(zuò)負載，可(kě)以提升對(duì)整個(g∏©è)基礎設施的(de)管理(lǐ)水(shuǐ)♦ 平，并注意到(dào)潛在的(de)安全問(wèn)題。

這(zhè)可(kě)能(néng)是(shì)其中最難以把握的(d₹≤e)一(yī)點了(le)，但(dàn)是(sh≠β₽★ì)公司企業(yè)必須獲得(de)對(d↑≠®↑uì)連接的(de)可(kě)見(jiàn)性。

可(kě)以借助日(rì)志(zhì)文(wén)件(jiàn)收↔₹集與處理(lǐ)自(zì)動化(huà)，來(lái♥©εφ)提升該可(kě)見(jiàn)性。不(bù)過，&>&↓即便如(rú)此，也(yě)是(shì)不(bù)太可(kě)能(néngγλ<)觀測到(dào)企業(yè)網絡和(hé)雲基礎設施上(shàng)的(φ​λde)所有(yǒu)事(shì)的(de)。

這(zhè)是(shì)與普通(tōng)意義上(s'∞÷×hàng)的(de)可(kě)見(jiàn)性不(bù)同。你(nǐ)不(bùα≥±)可(kě)能(néng)随時(shí)坐(zuò)那(₩±nà)兒(ér)監視(shì)你(nǐ)全部的(de)網絡 Ω₽✔流量。

6. 精煉策略并識别規則破壞者

随著(zhe)用(yòng)戶身(shēn)份的(de)唯一(yī)₹φ π化(huà)，随著(zhe)每次雲項目叠代帶來(lái)的(de)更多(®≥δ↔duō)可(kě)見(jiàn)性，公司應逐‌λ₽<漸将重心放(fàng)到(dào)精煉其策略上(shàng®÷)來(lái)。通(tōng)過在雲端和(hé₩∏₩)內(nèi)部架構上(shàng)應用(yòng)統一(yī)₽₹‌的(de)策略集，IT安全團隊可(kě)在較高(¥↑©←gāo)層級簡化(huà)安全視(shì)圖。

也(yě)就(jiù)是(shì)說(shuō)，你(nǐ)定義策略α$✘₩時(shí)不(bù)用(yòng)考慮數(shù)據存儲位置，隻需λ∞将策略映射到(dào)特定的(de)服務或存儲媒介。通(₹₹λtōng)過Exchange共享的(deδπ)數(shù)據和(hé)通(tōng)過Slack共享₽  的(de)數(shù)據會(huì)有(yǒu)不(bù)同的(d×±e)規則，但(dàn)策略是(shì)一(yī)緻↓απ的(de)。

這(zhè)些(xiē)策略連同增加的(de)可(kě)見(jiàn)₩§‍性，還(hái)給了(le)公司捕獲異常行(x‍←"íng)為(wèi)的(de)機(jī)會(h♦☆×Ωuì)。IT安全團隊可(kě)以通(tōn‍¶'€g)過設置規則和(hé)查找惡意行(xíng)為(wèi)來(l→β♠ái)檢測攻擊，在攻擊者造成傷害之前就(jiù)将×✘其揪出來(lái)。

7. 用(yòng)指标來(lái)降低(dī)複雜(zá)度并→¥促進管理(lǐ)

想要(yào)改善每個(gè)雲項目每次叠代→ε₹的(de)安全，公司企業(yè)就(jiù)要(yào)有(yǒu)可(>βkě)衡量其所做(zuò)工(gōng)作(z♦₩‍uò)有(yǒu)效性的(de)數(shù)據。如(rú)何衡量成功非↓ ±常重要(yào)。對(duì)雲安全來(lái)說(shuō)，可(k≤∞ £ě)以簡化(huà)成使用(yòng)了(le)¶×多(duō)少(shǎo)個(gè)雲服務和(hé)$© ♣這(zhè)些(xiē)雲服務有(yǒu)多(duō)少₹α≤(shǎo)是(shì)被安全策略覆蓋的(de)。

沒有(yǒu)指标，就(jiù)談不(bù)上(shàn∞±$↔g)混合基礎設施的(de)管理(lǐ)。這(z$♦hè)與每個(gè)駕駛員(yuán)都(dōu)需要(yào)儀表盤來(∞↔lái)告訴自(zì)己車(chē)輛(liàng)行(xín₹₽¶↓g)駛狀況一(yī)樣。随著(zhe)公£​ 司雲項目的(de)擴張，可(kě)見(jiàn)性的(de)重要(yào)$£性也(yě)随之增加。複雜(zá)性問(wèn)題隻會(huì)越來(≈★lái)越嚴重。因此，公司企業(yè)和(hé)政府→&σ機(jī)構最好(hǎo)在複雜(zá)性♥>™問(wèn)題不(bù)可(kě)收拾之前找到(dào™∞)應對(duì)之策。