混合云計算使組織能夠在內(nèi)部、私有云或公共云中隔離其資源和工作負(fù)載。但是，盡管有很多好處，混合環(huán)境也會產(chǎn)生安全問題。

AlgoSec 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Avishai Wool 教授分享了他對其中一些問題的專家見解，并提供了提高混合云安全性的最佳實踐。

混合云計算

混合云計算結(jié)合了本地基礎(chǔ)設(shè)施、私有云服務(wù)和一個或多個公共云。

走向混合為企業(yè)提供增強的靈活性、敏捷性、成本節(jié)約和可擴(kuò)展性，以創(chuàng)新、發(fā)展和獲得競爭優(yōu)勢。那么，如何簡化和加強混合云中的安全操作呢？

一切從可見性開始——你無法保護(hù)你看不到的東西

安全團(tuán)隊需要知道這些資產(chǎn)是什么以及它們位于何處，以保護(hù)他們的整個混合基礎(chǔ)架構(gòu)、應(yīng)用程序、工作負(fù)載和數(shù)據(jù)。他們還需要看到整個混合產(chǎn)業(yè)，而不僅僅是單個元素。

但是，完全可見性是一項嚴(yán)峻的混合云安全挑戰(zhàn)。混合環(huán)境非常復(fù)雜，可能會產(chǎn)生安全盲點，從而阻止團(tuán)隊識別、評估以及最重要的是降低風(fēng)險。

沒有零散的安全方法

另一個混合云安全問題是您無法實施分散的安全方法來控制整個網(wǎng)絡(luò)。

隨著成千上萬的集成和相互依賴的資源和數(shù)據(jù)在它們之間流動，漏洞突然出現(xiàn)，增加了網(wǎng)絡(luò)攻擊或違規(guī)的風(fēng)險。要獲得完整的混合云安全性，您需要一種可以幫助您控制整個網(wǎng)絡(luò)的整體方法。

DevSecOps 是靈丹妙藥嗎？不完全的

在許多組織中，DevSecOps 團(tuán)隊管理云安全，因為他們可以看到云內(nèi)部發(fā)生的事情。但是，在混合云中，許多應(yīng)用程序在云之外都有服務(wù)器或客戶端，而 DevSecOps 可能無法看到這些。

此外，保護(hù)流入和流出云的數(shù)據(jù)并不總是在他們的職權(quán)范圍內(nèi)。其他團(tuán)隊需要管理安全操作并最大限度地減少混合云風(fēng)險以彌補這些差距。必須協(xié)調(diào)這些額外的流程和團(tuán)隊成員，以確保整個混合網(wǎng)絡(luò)環(huán)境的持續(xù)安全。但這說起來容易做起來難。

基于 IaC 的安全性

使用 IaC 平衡自動化與監(jiān)督是關(guān)鍵，但您不應(yīng)僅依賴它基礎(chǔ)架構(gòu)即代碼 (IaC) 將幫助您在混合云中自動部署安全控制，以防止在混合云中出現(xiàn)錯誤配置錯誤、不合規(guī)和違規(guī)行為生產(chǎn)階段和應(yīng)用前測試。

借助基于 IaC 的安全性，您可以在模板文件中定義安全最佳實踐，這將最大限度地降低風(fēng)險并增強您的安全狀況。但是，將所有雞蛋放入自動化和 IaC 籃子中存在固有風(fēng)險。

混合云問題

由于所有控制都在操作方面，因此可能會產(chǎn)生嚴(yán)重的混合云安全問題。如果沒有人類的關(guān)注和行動，漏洞可能仍未得到解決，并為網(wǎng)絡(luò)攻擊打開了大門。由于不在運營方面的安全專業(yè)人員必須監(jiān)督云環(huán)境，因此很容易為溝通不暢和人為錯誤打開大門，這對組織來說是一個非常昂貴的提議。

出于這個原因，您還應(yīng)該實施一個流程來定期部署自動更新，而無需耗時的審批，這會減慢工作流程并削弱安全性。力爭實現(xiàn) 95% 的自動化更改，剩下的 5% 需要人工輸入。

混合云安全最佳實踐——盡早開始，強勢開始

從本地遷移到云端時，您可以選擇全新遷移或直接遷移。綠地意味著推出全新的應(yīng)用程序。在這種情況下，請確保從一開始并在所有流程中“考慮”安全性考慮。

這種“左移”方法有助于構(gòu)建從一開始就安全的環(huán)境。這可確保所有團(tuán)隊成員都遵守一套統(tǒng)一的安全策略規(guī)則，以最大限度地減少混合云環(huán)境中的漏洞并降低安全風(fēng)險。

遷移計劃測量

如果您將本地應(yīng)用程序提升并轉(zhuǎn)移到云端，請注意在設(shè)計它們時所做的任何安全假設(shè)。這很重要，因為它們不是為云構(gòu)建的，并且可能包含增加安全風(fēng)險的協(xié)議。

接下來，在遷移規(guī)劃期間實施適當(dāng)?shù)拇胧?。例如，如果?yīng)用程序利用純文本協(xié)議，則實施應(yīng)用程序負(fù)載均衡器，并使用邊車加密應(yīng)用程序而無需修改原始代碼庫。您還可以利用混合云安全解決方案實時檢測和緩解安全問題。

將云安全與應(yīng)用程序結(jié)構(gòu)相匹配不再是可選的

在遷移到混合云之前，將業(yè)務(wù)邏輯、應(yīng)用程序結(jié)構(gòu)和應(yīng)用程序所有權(quán)映射到混合云資產(chǎn)的網(wǎng)絡(luò)結(jié)構(gòu)中。為了簡化這個過程，這里有一些經(jīng)過驗證的方法可以考慮。

• 將您的環(huán)境分解為虛擬私有云 (VPC) 或虛擬網(wǎng)絡(luò)。使用 VPC，您可以監(jiān)控連接、屏蔽流量、創(chuàng)建多個子網(wǎng)并限制實例訪問以改善安全狀況。
• 使用網(wǎng)絡(luò)結(jié)構(gòu)將應(yīng)用程序隔離到云中的不同功能和網(wǎng)絡(luò)區(qū)域。這樣，您可以部署網(wǎng)絡(luò)控制來分割您的云資產(chǎn)，并確保只有授權(quán)用戶才能訪問敏感數(shù)據(jù)和資源。
• 根據(jù)其操作系統(tǒng)、業(yè)務(wù)部門和地理區(qū)域標(biāo)記所有資源。帶有描述性元數(shù)據(jù)的標(biāo)簽有助于識別資源。他們還建立所有權(quán)和責(zé)任制，提供對云消費的可見性，并幫助部署安全策略。

結(jié)論

在當(dāng)今快節(jié)奏的商業(yè)環(huán)境中，混合云計算可以通過多種方式使您的組織受益。但要獲得這些好處，您應(yīng)該努力提高混合云的安全性。

結(jié)合此處討論的最佳實踐來提高安全性并充分利用您的混合環(huán)境。