如(rú)何保護混合雲安全：IT專家(jiā)需要(yα☆€ào)知(zhī)道(dào)的(de)內(nèi)容

确保企業(yè)的(de)混合雲環境安全并不(bù)簡單。SANS公司₹π的(de)分(fēn)析師(shī)對(duì)為(wèi)什(shén)麽≈£>以及如(rú)何提高(gāo)公共雲和(hé)私∏"有(yǒu)雲接口的(de)安全性進行(xíng)了(le)解釋。

對(duì)于企業(yè)來(lái)說(shuō)，将其數≠↑©↓(shù)據和(hé)軟件(jiàn)平台遷移到(dào)雲端并不(bù ε₩)是(shì)一(yī)個(gè)非此即彼的(de)主張。一(yī)些₩•(xiē)企業(yè)的(de)IT部門(mén)正在©Ωε探索和(hé)學習(xí)運行(xíng)內(nèi)部私有(yǒu)雲∏σ®和(hé)第三方公共雲服務的(de)組合•£☆≠。随著(zhe)企業(yè)計(jì)算(suàn)需求₽♦和(hé)成本的(de)變化(huà)，創建混合雲平台可(kě)使工↕β©(gōng)作(zuò)負載在私有(yǒu)雲和(♣→₽hé)公共雲之間(jiān)移動，從(cón©•g)而為(wèi)企業(yè)提供更大(dà)的(de)靈活性和(♦β‌§hé)更多(duō)的(de)數(shù)據部署選項。

混合雲具有(yǒu)自(zì)己的(de)優缺點。混合≤'γ雲在為(wèi)技(jì)術(shù)員(yuán)提供便利性和(€‌♣εhé)适應性的(de)同時(shí)帶來(lái)了(le)一(yī)些×★β(xiē)成本：安全團隊必須保護企業(yè)數(shù≤₽→♥)據，并且在許多(duō)情況下(xià)，必須保護多(Ωσ♦↕duō)個(gè)環境中的(de)專有(yǒββ‍u)進程。

Voodoo Security公司首席顧問(wèn)¶↓£←Dave Shackleford和(hé)SANS公司分$×₹(fēn)析師(shī)決定在SANS白(bái)皮書γε'↑(shū)“保護混合雲：傳統工(gōng)具vs.新工(gōng)γ€₽ 具和(hé)策略”中解決這(zhè)些(xiē)問☆↓(wèn)題。

“随著(zhe)越來(lái)越多( "≤¥duō)的(de)組織采用(yòng)混合雲∑β模式，他(tā)們需要(yào)将其內(nèi)部安全♦♦↓♣控制(zhì)和(hé)流程調整為(wèi)公共雲服務提供商環™​☆境。”Shacklefordδ♠∞α寫道(dào)，“首先，企業(yè)應該更新風(fēng)險評估→±×和(hé)分(fēn)析實踐，以不(bù)斷審查列出的(de)項目。&rdq₽≤uo;

以下(xià)列出這(zhè)些(xiē)項目：

•雲計(jì)算(suàn)提供商安全控制(zhì)、功能(né→↑≤ng)和(hé)合規狀态

•內(nèi)部開(kāi)發和(hé)編排工(gōδ¥δ‍ng)具和(hé)平台

•運營管理(lǐ)和(hé)監控工(gōng)具

•內(nèi)部部署和(hé)雲端的(de)安全工(gōng)₩•♣具和(hé)控制(zhì)

這(zhè)兩家(jiā)公司在白(bái)↓ ←♠皮書(shū)中仍然沒有(yǒu)确定企業(yè)♥✔∏§還(hái)是(shì)雲計(jì)算(suàn)提供商最終負責雲中→ε的(de)安全。

Shackleford支持雲計(jì)算(suàn☆ ')服務提供商和(hé)他(tā)們的(de)客戶共同承擔責任。對(duì•​↓)于客戶，Shackleford認為(wèi)其安全團隊必須：

•充分(fēn)了(le)解當前正在使用(yòng)的β ∞(de)安全控制(zhì)措施;

•更好(hǎo)地(dì)了(le)解α±>∏他(tā)們必須修改哪些(xiē)安全控制(zhì)才能(nén✔✔εg)在混合雲環境中成功運行(xíng)。

至于原因，Shackleford解釋說(shuō)：&ldq™<δ®uo;幾乎可(kě)以保證一(yī)些(xiē)安全控制(zhì)‌>不(bù)會(huì)像他(tā)們在內(nè<€i)部部署執行(xíng)的(de)方式那(nà)$±§樣運行(xíng)，或者不(bù)會(huì)在雲計&<β(jì)算(suàn)服務提供商環境中運行 ♠(xíng)。”

內(nèi)部過程IT團隊應進行(xíng)檢查

Shackleford建議(yì)檢查以下(x←∑β☆ià)內(nèi)部流程。

配置評估：Shackleford說(shuō)，在涉及安全性時(←∑≤×shí)，以下(xià)配置尤為(wèi)重要₽₩α‍(yào)：

•操作(zuò)系統版本和(hé)修補程γ₽&序級别

•本地(dì)用(yòng)戶和(hé)組

•關鍵文(wén)件(jiàn)的(de)權限≥✘βγ

•正在運行(xíng)的(de)強化(huà)網絡服務

漏洞掃描：Shackleford建議(yì)系統應持續掃描，并報(bào↕÷)告實例中生(shēng)命周期內(nèi)發現(xiàn)的(>α↓de)任何漏洞。至于掃描和(hé)評估任何調查結果，Shac'∑Ω♦kleford指出，混合雲環境中通(tōng)常使用(yòng)以≤↓​‍下(xià)方法之一(yī)。

•傳統漏洞掃描程序的(de)一(yī∞ )些(xiē)供應商已經調整了(le)他(tā)↔​們的(de)産品以在雲提供商環境中工(gōng)作(zuò)，通(tλγ¥≈ōng)常依靠API來(lái)避免人(rén)工(gōng)請(q©★♦∏ǐng)求在計(jì)劃或臨時(shí)基礎上(shàng)執行(xí↓☆ng)更多(duō)入侵式掃描。

•依賴基于主機(jī)的(de)代理(lǐ)，可(kě)以連續‍β£掃描各自(zì)的(de)虛拟機(jī)。±©>

安全監控：混合雲環境幾乎總是(shì)存在于虛拟化(huà)₩§✘>多(duō)租戶服務器(qì)上(shàng)，這(z☆‌φ≤hè)使得(de)他(tā)們難以監控每個(gè)用(yò✔±δ‍ng)戶的(de)攻擊情況。“監控虛拟基礎設施發生(s♦≤→ hēng)在幾個(gè)地(dì)方之一(yī)：虛拟₹≥£λ機(jī)/容器(qì)、虛拟交換機(jī)、管理(​÷lǐ)程序或物(wù)理(lǐ)網絡。&rdqu↕εo;Shackleford寫道(dào)，&₩₩βldquo;在幾乎所有(yǒu)的(de)雲計(jì)算(suà€☆n)環境中，我們唯一(yī)能(néng)夠真正接觸到☆$ γ(dào)的(de)地(dì)方就(jiù)♦‌是(shì)雲計(jì)算(suàn)提供商提¶↓Ω×供的(de)虛拟機(jī)/容器(qì)或軟≥​<α件(jiàn)定義網絡。”

“關于如(rú)何構建監控工(gōng)具的(de)考慮•™∞←因素包括網絡帶寬、專用(yòng)連接以及數(shù)據彙總/分(fēn™'σ<)析方法。” Shackleford繼續說(shuō)≠®∑道(dào)，“雲實例中的(de γ∞)服務、應用(yòng)程序和(hé)操★∞♠∏作(zuò)系統生(shēng)成的(de)日(rì)志(zhì'✘↑)和(hé)事(shì)件(jiàn)應$<自(zì)動收集，并發送到(dào)中央收集平台。”ו‌

Shackleford認為(wèi)，對€→•&(duì)于自(zì)動化(huà)遠(yuǎn)程日(rì)志(♥™→≠zhì)記錄來(lái)說(shuō)，大♥ (dà)多(duō)數(shù)安全團隊已經對(↓ duì)收集适當的(de)日(rì)志(zhì)，将♦☆₹它們發送到(dào)安全的(de)中央日(rì)志(zhì)記錄服¶©務或基于雲的(de)事(shì)件(jiàn)管理(lǐ)平台以及使用(yòn♣>±g)SIEM和(hé)/或分(fēn)析工(gōng)具進行←‍₹(xíng)密切監視(shì)方面有(yǒu)所了(le)解。

根據Shackleford的(de)說(shuō)法，需要(yào)一(yī→♠‍¶)些(xiē)受到(dào)監視(shì)的(de)限制(zhì)。他(tā¥π)認為(wèi)以下(xià)應該有(yǒu)優先權：π♣♣

•不(bù)尋常的(de)用(yòng)戶登錄或₽ ≤ε登錄失敗

•大(dà)量數(shù)據導入或導出雲環境

•特權用(yòng)戶活動

•更改已批準的(de)系統映像

•訪問(wèn)和(hé)更改加密密鑰

•特權和(hé)身(shēn)份配置的(de)↓→→更改

•更改日(rì)志(zhì)記錄和(hé)監視(shì$∏♠>)配置

•雲計(jì)算(suàn)提供商和( σ‍∏hé)第三方威脅情報(bào)

孤島和(hé)點解決方案是(shì)一(yī)≠"個(gè)問(wèn)題

人(rén)們喜歡采用(yòng)一(yī)個Ω•(gè)服務或産品。出于同樣的(de)原因，Shackl←£→γeford強烈建議(yì)避免在不(bù)同供應商β ±和(hé)環境中提供靈活性的(de)單一(yī)供應商或雲原生(shēng)↓₹選項。

“一(yī)些(xiē)供應商的(de)産品隻能(n&λ∞↕éng)在特定的(de)環境下(xià)工(gōng)作(←≈¥zuò)，而大(dà)多(duō)數(shù)♠₽✘雲供應商的(de)內(nèi)置服務隻能(néng)在他(tā)們自(★∏€zì)己的(de)平台上(shàng)運行(xíng)。&rdqu≈×o;他(tā)解釋說(shuō)，“當業(yè)務需求推動組織©§實施多(duō)雲戰略時(shí)，這(±®zhè)種孤島現(xiàn)象可(kě)能(néng)會(h₽"uì)導緻嚴重的(de)問(wèn)題，因β≈•此需要(yào)重新采用(yòng)符合要(yào)求的(de)安全控₹®制(zhì)措施。”

Shift-left安全性

Shackleford是(shì)一(yī)個(gè)Shift-le•∞δft安全的(de)強大(dà)支持者，這(zhè)是(shì)一(yī♠δ)個(gè)很(hěn)難實現(xiàn)的(de)簡單概念↔←₩，但(dàn)這(zhè)個(gè)想法是(shì₽☆')将安全考慮移到(dào)産品開(kāi)♦φα★發階段。“換句話(huà)說(sh¶☆uō)，安全性真正與開(kāi)發和(hé)運營實踐以及基礎設施(有(yǒ€™u)時(shí)稱為(wèi)SecDevOps或D←ΩevSecOps)相(xiàng)結合，”Sha$$®ckleford寫道(dào)，“安全和(hé)Devα♣™Ops團隊應該為(wèi)許多(duō)領•α×>域定義和(hé)發布IT組織标準，其中包括批準使用(yòng)的(εβ÷↑de)應用(yòng)程序庫和(hé)操作(zuò)系統配置。>&Ω₩”

最後的(de)警告

除了(le)正常的(de)盡職調查之外(wài)，↔βShackleford建議(yì)企業(yè)在将數(shù)據和(hé)δδ/或流程轉移到(dào)公共雲之前完成對(duì)所有(yǒu)現(x‌&iàn)有(yǒu)控制(zhì)和(hé)流程的(de)全面審查，從(cón&​g)而形成基準。“這(zhè)将使他(tā)們有(yǒu)↓‌機(jī)會(huì)充分(fēn)保護所涉及的(de)∞✘₩數(shù)據，并在公共雲環境中尋找同等的(de)安全功能(néng)。&→‍rdquo;Shackleford建議(yì§↕₽φ)說(shuō)，“尋找可(÷σkě)幫助企業(yè)在一(yī)個(gè)地☆™(dì)方管理(lǐ)內(nèi)部部署資産和(hé)雲計÷↕≥(jì)算(suàn)資産的(de)工(gōng)具，因為(wèi​↔γβ)安全和(hé)運營團隊通(tōng)常很≥λ$♦(hěn)分(fēn)散，無法在一(yī)個(≠↔gè)或多(duō)個(gè)雲提供商環境中管理(lǐ)多($≥duō)個(gè)管理(lǐ)和(hé)監控工(>‍gōng)具。”