關(guān)于混合云環(huán)境下的一些安全措施

現(xiàn)代企業(yè)基本沒有完全云端化或壓根兒不用云的，隨著幾乎每家公司都朝著在業(yè)務(wù)中引入云的方向發(fā)展，融合了云服務(wù)、云基礎(chǔ)設(shè)施和公司現(xiàn)場技術(shù)的混合環(huán)境，便是如今大多數(shù)公司的實際情況。微軟《2017混合云情況》報告顯示，約2/3的公司承認自身運營在混合云環(huán)境上，另有18%的公司其IT環(huán)境可被歸類為混合云。

混合環(huán)境正在成為云的默認用例，可以用“實用混合云”（公共云和私有云基礎(chǔ)設(shè)施的混合）這個詞來區(qū)分企業(yè)IT的混亂現(xiàn)狀與混合云的規(guī)范定義。并且有人認為，實用混合云是當前的趨勢。

融合了公司內(nèi)部網(wǎng)絡(luò)和云服務(wù)的IT環(huán)境一般都比較混亂，難以保證安全。專家稱，公司企業(yè)需抽象出一定的方法來保護其IT環(huán)境安全，并簡化基礎(chǔ)設(shè)施以方便安全措施的部署。很多公司最大的混合云問題就是攤子鋪得太大，鋪得太快，造成安全被甩在身后望塵莫及的狀況。有些公司連試水過程都省了，直接全面鋪開，恨不得一口吃成胖子，結(jié)果卻是云項目開展得萬般掙扎。

比如說，管理層直接定調(diào)：我們要邁向云；然而，安全策略上的中央管理措施卻根本沒到位。其結(jié)果，只會是云項目演變?yōu)榫薮蠖舐囊粓F糟。最好是完全新建一個項目，而不是將原有內(nèi)部應(yīng)用轉(zhuǎn)移到云端。雖然很多云安全提供商關(guān)注資產(chǎn)盤點，但真的有可能發(fā)現(xiàn)公司的所有資產(chǎn)嗎？而且，作為起步工作，遷移原有應(yīng)用的工程量過于龐大了。最明智的方法，莫過于從能搞定的工作量開始。

大多數(shù)公司已經(jīng)開始擔(dān)心數(shù)據(jù)在云端的安全程度了。但也正是這些公司，依然假定自己內(nèi)部基礎(chǔ)設(shè)施中的數(shù)據(jù)就不會遭到攻擊者染指。然而，不得不承認，攻擊者總會在某個時候進入原以為安全的內(nèi)部網(wǎng)絡(luò)的。公司企業(yè)在安全認知上的最大錯誤，就是以為內(nèi)部環(huán)境是安全的。這一點已經(jīng)被Equifax、塔吉特等公司證明過了。

當人們認為自己運營在混合環(huán)境中時，他們就已經(jīng)偏離了正確的認知路線。正確的假定應(yīng)該是：我擁有的所有東西都暴露在互聯(lián)網(wǎng)面前，必須在零信任環(huán)境中運營。零信任思維應(yīng)在應(yīng)用程序上有所反映，所有應(yīng)用程序都應(yīng)驗證來自其他App的全部通信。隨著設(shè)備的激增，業(yè)務(wù)數(shù)據(jù)可存儲的地點數(shù)量也呈指數(shù)級上漲，從40年前的大型機，到30年前的PC，到最近10年的移動設(shè)備和云。

然而，數(shù)據(jù)還是那些數(shù)據(jù)，無論數(shù)據(jù)位于何處，必須保證數(shù)據(jù)安全，壞人對數(shù)據(jù)的覬覦之心從未減弱過。很多公司試圖通過網(wǎng)絡(luò)控制限制對信息的訪問，以保護數(shù)據(jù)安全。但在混合環(huán)境下，以網(wǎng)絡(luò)為中心的模式毫無意義。必須專注于真正關(guān)心的東西，也就是數(shù)據(jù)。數(shù)據(jù)才是公司最重要的資產(chǎn)，網(wǎng)絡(luò)和設(shè)備都不是最重要的，你的數(shù)據(jù)才是。最好的CISO會假定整個環(huán)境都已被感染，在這種前提下進行數(shù)據(jù)防護。

員工在工作中平均使用36個云服務(wù)。想要減少公司混合云和內(nèi)部環(huán)境中的復(fù)雜性，就應(yīng)該盡可能地整合這些身份。大多數(shù)云提供商，比如AWS和微軟的Azure，都提供整合用戶身份的途徑。身份管理提供商也會給用戶統(tǒng)一的門戶來接入各個企業(yè)服務(wù)。這些功能都可以讓公司企業(yè)規(guī)范其訪問控制。聯(lián)合身份無疑非常重要。你或許不會想做什么瘋狂的舉動，但一定會想買個聯(lián)合身份代理。大多數(shù)人都希望能從一個Web門戶登入其環(huán)境。

不過，別指望將內(nèi)部身份與云身份捆綁到一起，除非有什么簡易的措施。內(nèi)部應(yīng)用依然保持內(nèi)部，用一直以來的方式管理就行。除了整合身份和保持一致的數(shù)據(jù)防護，公司企業(yè)還需知曉各種應(yīng)用連接工作流的方式，也就是擁有對連接的可見性。知道誰在哪些數(shù)據(jù)上執(zhí)行什么工作負載，可以提升對整個基礎(chǔ)設(shè)施的管理水平，并注意到潛在的安全問題。

這可能是其中最難以把握的一點了，但是公司企業(yè)必須獲得對連接的可見性?？梢越柚罩疚募占c處理自動化，來提升該可見性。不過，即便如此，也是不太可能觀測到企業(yè)網(wǎng)絡(luò)和云基礎(chǔ)設(shè)施上的所有事的。這是與普通意義上的可見性不同。你不可能隨時坐那兒監(jiān)視你全部的網(wǎng)絡(luò)流量。

隨著用戶身份的唯一化，隨著每次云項目迭代帶來的更多可見性，公司應(yīng)逐漸將重心放到精煉其策略上來。通過在云端和內(nèi)部架構(gòu)上應(yīng)用統(tǒng)一的策略集，IT安全團隊可在較高層級簡化安全視圖。也就是說，你定義策略時不用考慮數(shù)據(jù)存儲位置，只需將策略映射到特定的服務(wù)或存儲媒介。通過Exchange共享的數(shù)據(jù)和通過Slack共享的數(shù)據(jù)會有不同的規(guī)則，但策略是一致的。

這些策略連同增加的可見性，還給了公司捕獲異常行為的機會。IT安全團隊可以通過設(shè)置規(guī)則和查找惡意行為來檢測攻擊，在攻擊者造成傷害之前就將其揪出來。想要改善每個云項目每次迭代的安全，公司企業(yè)就要有可衡量其所做工作有效性的數(shù)據(jù)。如何衡量成功非常重要。對云安全來說，可以簡化成使用了多少個云服務(wù)和這些云服務(wù)有多少是被安全策略覆蓋的。

沒有指標，就談不上混合基礎(chǔ)設(shè)施的管理。這與每個駕駛員都需要儀表盤來告訴自己車輛行駛狀況一樣。隨著公司云項目的擴張，可見性的重要性也隨之增加。復(fù)雜性問題只會越來越嚴重。因此，公司企業(yè)和政府機構(gòu)最好在復(fù)雜性問題不可收拾之前找到應(yīng)對之策。