随着CIO们采用了混合云策略,其中一些人快速地认识到这些平台环境需要一些新型的安全模型,或者至少在现有环境中应用现有的控制措施和安全技术。大多数企业还发现,他们的环境并不是简单的纯粹私有云加公有云。原有的内部部署系统,软件即服务(SaaS)应用以及基础设施即服务(IaaS)都将在其中发挥作用。
用于保护公有云和私有云资源的安全工具可能仍然包括诸如防火墙、访问控制和日志管理这样基于边界的控制措施,但是传统IT安全措施的作用也就仅限于此了。 “完成工作的方法各不相同,从某种意义上说,西班牙与法国是不同的,”总部位于宾夕法尼亚州Blue Bell的一家全球IT服务厂商Unisys公司的首席信息安全官Dave Frymier说。“安全团队将不得不学习新的语言,但是他们将做的风险分析工作却是与他们目前在企业内部中做的是一样的。”
诸如Unisys和ING(后者是一家总部位于阿姆斯特丹的全球性金融机构)这样的企业正在使用混合云作为整合数据中心的一种方法。这样做是有道理的:你不必提供前期资金来购置、安装、运行你的服务器,你可以按需租用相关资源,并根据运营预算进行费用支付。
与进行实际的投资不同,你可以充分利用IaaS厂商的服务和专业知识,并只在实际需要时租用设备。“IaaS在主要云厂商的努力下已经获得了长足的进步和发展,它已不同于五年前最初的面向客户的云了,”Frymier说。“我们现在拥有一个完全虚拟的基础设施,可以将其用于安全环境的开发,而企业级服务所带来的成本节省要高于之前的客户版本。”
当执行整合任务时,可以集成相关的安全措施,这使得云具有了与传统数据中心相同的安全级别。银行业界已经建立了他们自己的体系架构和网络标准,较早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就担任了银行业架构网络董事会的主席。其主要工作包括了在相应安全等级的前期进行开发的实施指南。
Richard Seroter
最好的策略包括:使用云-本地或云-第一的安全工具,而不是强迫无法转化的传统技术(例如防火墙或入侵防御设备)来负责内部部署环境和基于云的环境。
无论你是迁移内部资产,还是使用外部云服务,或者是集成私有云公有云和内部部署服务器,这里有五个通用的策略,这是很多CIO们用于缓解安全性问题的良方:
1. 逐步提高用户的受培训程度和加强与他们的沟通。如鸵鸟般把头埋在沙子里并不是一个真正的好策略。“你总是需要站出来解决问题的,”世纪互联技术解决方案公司产品副总裁Richard Seroter说。该公司在2013年收购了Web hosterSavvis,并向全球数据中心提供自助云服务或托管服务。
“只要用户有一张信用卡,那么他就可以基于云在任何地方部署应用,”他说。“与之前在项目结尾时出台各种限制条件不同,我们应学习如何在项目前期就与运营和用户展开协作。”Seroter说,这种方法还有其他的一些好处:“安全性将成为我们向每一位客户做简报内容的一部分,”他指出。“我们不会等待用户向我们咨询安全性方面的问题,而是应尽量采用积极的方法,让我们的客户了解应与我们共同承担的责任——我们试图通过尽可能坦率的对话来讨论他们如何安全地访问他们的数据。”
你还必须注意潜在的法规和法律后果,并对你的员工开展培训。“我们云迁移战略的一个关键部分就是与我们的法务部门协作来定义出一个新的信息安全框架,并于 2014年年初推出,”国际红十字会和红新月会的全球CIO Ed Happ说。在2013年,该组织扩大了其与微软公司签订的协议,使得它在187个国家中的80个组织使用云服务,其中就包括了Microsoft Office 365。其目的就是为了腾出资源和节省开支,并通过为全球众多小型国家组织提供相同的访问工具而解决了数字鸿沟问题。
Ed Happ
红十字会在实际应用中发现,该组织所拥有的九成半以上信息都是公开或内部的,这些信息并不需要采用超出商用应用所提供安全等级的安全措施。对于剩下的半成,Happ表示,红十字会会把这类信息集中在它的内部网中,从而帮助全球用户实现工具与他们特定需求和信息安全要求的匹配。具体包括了培训视频和其他关于如何确保应用安全的应用指南。
2.使用更强大的身份验证方法来保护云访问。当仅仅只要一个用户名和密码就能够任意使用你的所有资源时,采用多模式身份验证方法(MFA)和单点登陆方法(SSO)就变得意义非凡了,它们可以更好地保护用户的这些资产。SSO工具能够更好地支持各种广泛的基于云应用和实施。通常情况下,这些产品提供了两个 URL:一个供用户进行应用单点登陆的门户页面和一个供IT管理人员使用的管理门户页面。
目前,大多数SSO产品能够实现数以千计应用的登陆自动化。一些SSO工具(例如SecureAuth、Okta、Ping和Centrify)可以针对特定应用作为基于风险身份验证方法的一部分而指定MFA。这使得SSO成为了一个强大的保护工具,而且与依靠用户选择个人密码相比,这也大大提升了登陆的安全性。这也意味着,IT部门可以在定义基于云的资产和匹配合适安全级别中发挥更重要的作用。
3. 开始使用加密的电子邮件和文件传输来保护您的通讯。当您的大部分通讯都是通过互联网进行时,您需要使用更好的方法来保护这些信息,而最好的方法就是使用加密的电子邮件和文件传输。如果您还没有使用,那也没关系,现在这两种加密方法都是简单易用的。
国际红十字会正在使用一个零知识的电子邮件客户端。这个客户端使用了一个共享密码来解密您的消息,并支持相关人士进行回复。在某些情况下,收信人只是通过一些鼠标点击操作就可以进行自我身份验证来阅读消息。在首次通讯之后,收信人就能够与您相当容易地交换加密消息。这样就避免了必须预先选择一个通用通讯工具进行安全消息的传输。红十字会还使用了一个文件传输服务,该服务可对存储状态和传输状态的文件进行加密。这两种产品可用于需要进行高度敏感通讯的应用,例如在不同管理委员会之间进行消息交换或其他更高级工作中的信息交换。
4. 实施更好的访问角色定义以控制您的虚拟机(VM)。随着用户部署越来越多的虚拟基础设施,您需要加强保护措施以保护用户对虚拟机的访问。诸如 HyTrust和Catbird这样的产品可以用于部署更高粒度的访问控制,这样用户就可以运行驻留在虚拟机中的应用,而无法启动、停止或删除整个虚拟机。此外,更重要的是这些工具不仅可以在数据中心内运行,而且可以在云中正常工作。这些技术还可用于对访问进行日志记录,就如同其它拥有基于角色访问控制的安全工具产品一样。“我们无法总是看着你不让你做坏事,但是我们可以仔细地实施基于角色的访问控制,从而实现虚拟机之间的相互隔离,并确保用户拥有合适的访问级别,”Seroter说。
5. 为即将到来的微分和虚拟容器做好准备。诸如Docker容器这样的工具能够帮助您集中在云中的资源,并更紧密地针对您的工作负载和需求。不需要负责整个虚拟机,您只需要启动一个虚拟过程或自动链接至针对特定任务的一系列流程。“容器能够存在10秒或者10天,”Seroter说。“你必须知道如何评估攻击面,因为这是一个完全不同的事物。”
微分产品(例如FireHost)能够针对特定的工作负载以编程的方式提供网络服务和策略。他们可以设置特定的VLAN和防火墙,并在虚拟网络接口处强制执行这些策略。“安全专业人员需要比这些新出现的趋势更提前一步,要了解它们的局限性以及如何安全地使用它们,”Seroter说,“不只是预防那些被部署的东西。”
作者:滕晓龙