物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

知易行難:如何保護(hù)多云環(huán)境?

作者:SDNLAB
日期:2017-11-21 10:27:04
摘要:而現(xiàn)在企業(yè)開始面臨一些云計算的障礙,其中管理和保護(hù)多云環(huán)境是一大挑戰(zhàn),尤其是在確保單一平臺的可見性時。

  云計算已經(jīng)成為當(dāng)今網(wǎng)絡(luò)中的重要組成部分,企業(yè)面臨的棘手的問題之一是云的管理。在企業(yè)數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)模式轉(zhuǎn)型的過程中,組織不僅采用了云計算策略,還構(gòu)建了一個更為復(fù)雜的多云環(huán)境。而現(xiàn)在企業(yè)開始面臨一些云計算的障礙,其中管理和保護(hù)多云環(huán)境是一大挑戰(zhàn),尤其是在確保單一平臺的可見性時。

  幾乎所有的組織都已經(jīng)或計劃實施某種基于云的基礎(chǔ)設(shè)施來完成整合和集中數(shù)據(jù)中心或更有效地處理工作流程。基礎(chǔ)設(shè)施即服務(wù)(I aaS)提供了傳統(tǒng)網(wǎng)絡(luò)無法提供的可擴(kuò)展性和彈性,現(xiàn)在組織正在部署多個來自不同提供商的IaaS環(huán)境。

  公有云環(huán)境在帶來優(yōu)勢的同時也存在很多挑戰(zhàn),因此虛擬化正在逐漸演變成私有云?;谠朴嬎愕能浖?wù),如銷售管理和離線存儲幾乎無處不在。根據(jù)第一季度Fortinet的威脅報告顯示,企業(yè)目前正在使用62個不同的云應(yīng)用程序,約占其應(yīng)用程序總數(shù)的三分之一。此外,大多數(shù)組織都有通過應(yīng)用程序或服務(wù)存儲在云端的敏感或關(guān)鍵的數(shù)據(jù),甚至企業(yè)的IT都不知道這些數(shù)據(jù)存儲在云端,這就是所謂的Shadow IT,一個日益嚴(yán)重的安全問題。

  要將這些獨(dú)立的云環(huán)境進(jìn)行編排逐漸成為很多IT團(tuán)隊的真正挑戰(zhàn),這些團(tuán)隊仍然需要 管理他們的物理網(wǎng)絡(luò)、越來越多的端到端設(shè)備、物聯(lián)網(wǎng)(IoT)設(shè)備和不斷增長的基礎(chǔ)設(shè)施,將以前隔離的運(yùn)營技術(shù)(OT)環(huán)境連接到網(wǎng)絡(luò)和互連網(wǎng)。

  在不斷變化的環(huán)境中跟蹤設(shè)備和數(shù)據(jù),建立和維護(hù)策略以及確保一致的安全狀態(tài)已經(jīng)變得難以實現(xiàn)。此外,在多云環(huán)境下,已部署的各種基于云的服務(wù)通常無法互相通信,我們已經(jīng)實現(xiàn)了一個高度交互式系統(tǒng)的網(wǎng)狀網(wǎng)絡(luò),其實質(zhì)是一個中心輻射的設(shè)計。隨之而來的是在檢測違規(guī)和惡意軟件、共享和關(guān)聯(lián)實時威脅情報以及有效的網(wǎng)絡(luò)響應(yīng)方面面臨嚴(yán)峻的安全挑戰(zhàn)。

  幸運(yùn)的是,大多數(shù)企業(yè)仍然處于構(gòu)建云計算基礎(chǔ)設(shè)施的初級階段,這意味著企業(yè)仍然可以規(guī)劃與網(wǎng)絡(luò)演進(jìn)相關(guān)的風(fēng)險。多云必須從有計劃的設(shè)計開始,企業(yè)不僅需要理解為什么要采用一系列特定的云服務(wù),而且還需要了解數(shù)據(jù)、應(yīng)用程序和工作流程如何在這些服務(wù)之間遷移,他們需要明確哪些地方存在風(fēng)險。

  一旦建立了安全基準(zhǔn),企業(yè)就需要選擇合適的工具來增強(qiáng)和保護(hù)這個動態(tài)且不斷發(fā)展的基礎(chǔ)設(shè)施。對很多企業(yè)來說,為保護(hù)其靜態(tài)物理環(huán)境而部署的部分或全部現(xiàn)有安全解決方案將無法保證其分布式多云環(huán)境的安全。同樣,他們需要避免繼續(xù)為每個云環(huán)境構(gòu)建單獨(dú)的安全解決方案,或者部署獨(dú)立運(yùn)行的專用安全工具。IT資源已經(jīng)不堪重負(fù),技能型網(wǎng)絡(luò)安全專業(yè)人才的短缺意味著擴(kuò)大網(wǎng)絡(luò)的方式不能適用于日益復(fù)雜的安全環(huán)境。相反,需要根據(jù)安全解決方案的可見性、相關(guān)性和自動化來選擇安全解決方案。

  可見性

  虛擬機(jī)按需增加或停止,數(shù)據(jù)按需遷移到應(yīng)用中,工作流程將根據(jù)應(yīng)用程序和最終用戶需要的動態(tài)變化進(jìn)行轉(zhuǎn)變,從安全的角度看,用戶不僅需要能夠看到所有的這些變化,還需要一些方法可以應(yīng)用和維護(hù)策略。

  深入了解每個云應(yīng)用實例對于確定正常流量、識別異常行為以及跟蹤和監(jiān)測指標(biāo)至關(guān)重要。這就要求安全工具能夠處理不對稱的數(shù)據(jù)流,查看并強(qiáng)制新設(shè)備,刪除不必要的規(guī)則,監(jiān)控網(wǎng)絡(luò)中橫向遷移的流量,并隨著環(huán)境的變化立即進(jìn)行調(diào)整。

  相關(guān)性

  可視化是與安全工具之間相關(guān)性的需要,一個地區(qū)的政策變化可能會在其他地方產(chǎn)生影響和意想不到的后果。為了避免這種情況的發(fā)生,安全工具需要能夠不斷地分享他們所看到的內(nèi)容,而不管他們已經(jīng)被部署到什么地方,以便有效地編排和更新策略。

  同樣,基本的威脅需要立即共享和相互關(guān)聯(lián),以便檢測當(dāng)今更復(fù)雜的攻擊,尤其是哪些專門設(shè)計用以逃避檢測的攻擊。獨(dú)立的安全體系架構(gòu)和試用獨(dú)立管理控制臺的設(shè)備造成了安全盲區(qū),為了彌補(bǔ)這一盲區(qū),IT團(tuán)隊通常需要手動關(guān)聯(lián)數(shù)據(jù)以檢測威脅,這就是為什么成功的違規(guī)行為通常在幾周甚至幾個月內(nèi)不被發(fā)現(xiàn)的原因。

  自動化

  通常攻擊的速度會非???,在過去幾年中,網(wǎng)絡(luò)違規(guī)與數(shù)據(jù)資源攻擊之間的時間已經(jīng)從半小時縮短到不到10分鐘。僅僅是人工干預(yù)已經(jīng)遠(yuǎn)遠(yuǎn)不足以應(yīng)對安全問題,為了縮小檢測和響應(yīng)之間的差距,組織需要實現(xiàn)自動化。這種自動化需要與機(jī)器學(xué)習(xí)和人工智能結(jié)合在一起,以便盡可能檢測到違規(guī)行為,從而實現(xiàn)自主決策。

  但是自動化僅僅是關(guān)閉檢測到的攻擊,有效的自動化是一個多步驟的過程,能夠?qū)崿F(xiàn)整個分布式網(wǎng)絡(luò)中的數(shù)據(jù)關(guān)聯(lián)和設(shè)備編排。當(dāng)檢測到異常行為、附件或應(yīng)用程序時,需要使用signatures和沙箱環(huán)境來立即分析這些信息,一旦造成了威脅,被盜用的設(shè)備需要立即被隔離并且打上需要補(bǔ)救的標(biāo)記。安全警報需要到所有的安全設(shè)備中去尋找這一新的威脅的其他實例,并從云端到核心網(wǎng)中鎖定這一威脅。安全工具需要開始回溯攻擊,以確定攻擊發(fā)生的地點(diǎn),并關(guān)閉違規(guī)行為。

  為了實現(xiàn)這一點(diǎn),安全工具需要能夠作為一個集成系統(tǒng)一起工作,以便隨著網(wǎng)絡(luò)的發(fā)展跨越和適應(yīng)網(wǎng)絡(luò)。多云網(wǎng)絡(luò)將會不斷發(fā)展,且保護(hù)安全網(wǎng)絡(luò)勢在必行。只要進(jìn)行適當(dāng)?shù)囊?guī)劃,開發(fā)適當(dāng)?shù)牟呗?,并選擇可見性、關(guān)聯(lián)性和自動化的工具,組織將能夠充分發(fā)揮多云的優(yōu)勢,而不會由于IT資源或引入新的不必要的風(fēng)險。

人物訪談