混合云安全涉及 跨多個數據中心 和硬件設備 的服務網格所有層的 軟件定義網絡(SDN)、虛擬化和應用程序支持。公司越來越多地尋求混合云網絡的“單一管理平臺”管理 ，其中包括傳統網絡管理和數據中心管理軟件的所有功能以及改進的實時數據包分析。混合云安全必須在分布式網絡的所有級別運行，并包括對尚未在生產中徹底測試的新的、創新的軟件平臺的支持。 混合云 安全性給網絡管理員帶來了獨特的問題，最好通過工具和實用程序來解決，這些工具和實用程序通過實現實時數據包掃描、監控和 網絡分析的嵌入式 SIEM 應用程序集成在 SDN 編排通道中。

復雜企業組織中的 IT 專業人員選擇混合云組織，因為它支持當今數千名員工或多個軟件開發團隊的實際操作方式。由于當前 IT 環境的運行方式，業務經理必須 根據商品硬件的成本和對專有或開源軟件服務的支持，在公共云主機之間進行評估。在過去十年中，高級業務管理人員迅速為財富 500 強中的大多數面向公眾的軟件服務采用了云外包。但是，這些高級決策者中的大多數仍然不允許將高度敏感的數據和文件遠程托管在本地數據中心之外。支持 私有云的要求 或本地數據中心硬件是 混合云架構的主要特征，但這種網絡形式給安全專業人員帶來了獨特的問題和挑戰。

混合云安全問題和挑戰

許多高級業務主管認為，社會工程風險超過了公共云平臺的好處，并且仍然不會同意將他們最關鍵或最敏感的數據和業務流程轉移到遠程主機。由于社會工程風險無法解決，私有云和本地數據中心設施需要越來越多地與混合云結構中的多個公共云資源和 SaaS 產品同時集成來進行管理。

2018 年， Kubernetes 發布了 CVE-2018-1002105，這是一個基于權限提升的嚴重安全漏洞，允許惡意用戶使用 API 調用控制生產中的共享 Linux 內核。此問題影響了生產中 Kubernetes 的每個發行版和運行時環境，需要立即修補。研究人員現在正致力于為容器開發更好的微分段安全功能。容器虛擬化和管理程序虛擬化之間的差異 導致了混合云安全操作中解決服務網格這一層的特定問題和挑戰。

在確定采用混合 云架構的決定之后 ，系統管理員需要選擇第三方供應商軟件來從全球市場上可用的現有解決方案中編排網絡。在實踐層面上，這意味著在來自 IT 專業人士和初創公司的專有許可混合 云編排 平臺之間進行選擇，或者通過訓練有素的員工和集成商公司采用開源解決方案。每個混合云編排平臺和解決方案提供商都有其獨特的優勢和劣勢，其中安全性需要成為在采用之前分析每個微服務解決方案時使用的主要因素。

混合云安全最佳實踐

混合云安全的最佳實踐基于服務網格中交織的安全信息和事件管理 (SIEM) 產品實施多層保護方法。模塊化混合云安全系統在管理程序、操作系統、Web 服務器、數據庫和應用程序層運行，網絡診斷基于通過 Web 流量或其他 I/O 傳輸請求對數據包進行實時掃描、監控和分析。混合云解決方案主要通過基于管理程序虛擬化、容器虛擬化或兩者組合的軟件平臺進行編排。

VMware 開創了一種嵌入式安全協議系統，該系統在生產中的管理程序級別運行，并在多租戶云環境中創建微分段。 微分段 改進了多租戶硬件上虛擬機的隔離，以防止在節點受到惡意軟件、蠕蟲或黑客未經授權的入侵的情況下攻擊向量的橫向傳播。

微分段解決了權限提升問題，這被認為是在企業生產中大規模運行容器的最嚴重的安全威脅。

許多安全專家建議在虛擬機管理程序驅動的 VM 環境中運行容器，以便通過微分段實現更好的隔離，以防止潛在的權限升級。VMware 產品在虛擬機管理程序級別嵌入了人工智能通知的惡意軟件、防病毒和不良請求掃描，以通過 NSX 分布式防火墻對生產中的混合云架構進行深度保護。NSX 分布式防火墻與 ESXi 一起安裝在由 vSphere 或 vCloud 產品管理的每個虛擬機上，將自動安全警報和事件管理與網絡分析和報告集成在一起。NSX 還可以作為防火墻即服務解決方案與 OpenStack 中的 Neutron 集成，以提高混合云的安全性。

混合云安全架構

混合云安全始于對 Web 服務器的物理訪問，這些 Web 服務器以專有代碼、數據庫、存儲文件、記錄、檔案或其他資源的形式存儲數據。由于根據定義，混合云架構中可用的硬件分布在全球多個數據中心，因此 IT 管理員被迫對所有供應商采取“零信任”策略。加密是安全研究人員在“零信任”環境（例如混合云架構中提供的環境）中保護數據安全的主要方法。加密策略需要應用在服務網格的每個級別，以實現包羅萬象。這包括網絡服務器或“裸機”級別的操作系統和軟件代碼的加密，以及傳輸、遠程存儲、后端進程等中的數據。 VMware vSAN Datastore 用于企業數據庫加密，而 VMcrypt Encryption 則應用于云存儲資源、備份和存檔。

實時數據包掃描是所有網絡分析的關鍵要素，越來越多地受到人工智能和機器學習方法的驅動，以防病毒、惡意軟件和反 DDoS 防御系統。邊緣服務器用于創建與現場 LAN 資源加強隔離的 DMZ 區域。Web 服務器安全包包括嵌入了虛擬機管理程序、操作系統、服務器發行版、數據庫和應用程序組件的多個防火墻層，這些組件通過實施實時數據包分析的第三方軟件實用程序進行擴展。網絡防火墻規則可以跨 SD-WAN 和 SDN實施 通過使用主要 IT 供應商的云軟件即服務計劃來獲取資源。混合云安全的“單一管理平臺”管理包括自動 SIEM 響應以及復雜的網絡分析、系統報告和隔離警報消息。

混合云安全的組成部分

關注服務網格的所有層是混合云安全的最重要特征。在網絡服務器分區層，公司主要使用管理程序虛擬化或容器虛擬化來部署混合云架構。 容器 在生產中運行一個大大縮小的操作系統，其中包含最少的驅動程序包集以提供支持。NanoOS、RancherOS、Alpine Linux、CoreOS 等容器操作系統構建通過減少多租戶環境中內核的可用攻擊向量來提高生產中的混合云安全性。操作系統安全更新的自動修補加快了關鍵升級的上市時間。Web 服務器的滾動操作系統安全更新已集成到大多數容器管理和 VM 編排軟件包中.

在應用層，版本控制和 CICD 流程可以在部署之前進行更好的代碼測試，可以在沙箱中隔離并在生產中自動化，以確保不會引入會導致意外 Web 安全漏洞的錯誤。 Selenium、Travis CI 和 Cucumber 等DevOps 工具將自動化代碼測試引入到軟件開發生命周期中，從而提高了定制 Web 和移動應用程序的混合云安全性。單個 Web 服務器上的大量微服務和交互的第三方軟件實用程序向混合云安全專業人員提出了戰術問題，可以通過更好的隔離、微分段和反病毒自動響應生成在元級別上解決這些問題由 AI/ML 驅動的實用程序。

混合云安全的技術控制

混合云代表一種集成網絡部署，它跨越一個或多個公共云托管環境，同時包括對私有云 硬件的同時支持 。超過 90% 的企業表示他們將實施混合云基礎架構 到 2020 年，在其 IT 部門中實現這一目標。許多復雜的組織支持數千個具有在線域屬性的品牌，其中包括 Web 和移動應用程序。不同部門和垂直領域的軟件開發通常由獨立團隊在相互競爭的公共云服務平臺上進行操作，因為每個團隊在 Web 服務器、編程語言和數據庫支持方面都存在明顯的優勢或劣勢。這些公司將來自數百名第三方開發人員的 SaaS 產品集成到日常運營中，作為員工生產力、銷售、客戶支持和制造的一部分。

這種服務組織創造了對混合云安全性的獨特需求，以通過多層交織的防火墻、 網絡監控來保護通信、財務記錄和存儲中的數據隱私 服務和加密。備份、恢復和災難管理程序與業務安全相關，由需要對數據庫、存儲文件和軟件代碼版本進行多次備份的系統管理員構建到混合云架構中。然而，多種形式和版本以及跨多個數據中心和設施的數據備份副本的激增產生了獨特的安全問題，需要通過“零信任”策略在存儲鏈的所有級別進行加密來管理，包括將備份傳輸到第三方站點、輔助數據中心或替代媒體。混沌測試、模糊測試和滲透測試以在實時生產環境之外無法預料的模式模擬潛在的系統故障。