與往常一樣,人們更愿意從別人身上學習,而不是從自己的錯誤中學習,尤其是在涉及安全方面。因此,隨著混合云應用的廣泛應用,其安全性越來越得到人們的關注。有關機構關于安全性對一些IT專家和安全專家進行了調查,并分享了他們的智慧。
一切都是新的……
人為錯誤是最終的安全漏洞:混合云時代仍然如此。在混合云架構中,安全風險和事件(甚至那些具有內在技術根源的事件)通常是企業的工作人員造成的。
混合云安全的經驗教訓ShoreGroup公司解決方案架構師兼安全業務負責人Ray Johansen表示:“混合云面臨獨特風險的主要原因是過度暴露或違反專有數據,而一些具體的例子表明其缺乏安全可見性或監督。”
例如,他列舉了一個無意暴露客戶名單的例子。盡管這個名單最終并未包含敏感數據,但當事企業的聲譽仍然受到影響,其原因是缺乏監督和干預。
“盡管數據的過度曝光存在一些技術故障,但真正的失敗來自組織對云計算服務的合法數據缺乏明確的策略,更重要的是被批準的組織策略是什么或如何驗證服務提供商。”Johansen說。
如果沒有這些政策和相應的監督,云服務器租用,企業的員工幾乎不可能理解他們正在采用的并最終負責保護的數據。
事實上,人們對“影子IT”有一些誤解,影子IT是在沒有IT知識或監督的情況下提供和使用的各種云服務,這實際上只是組織缺乏必要的政策和流程的一種工作方式。
Johansen說,“人們總是聽到影子IT這個術語,但所有這些都是組織未能向其團隊聲明這些服務是企業不會消費的服務。”
“企業希望采用混合云,以獲得市場競爭所需的敏捷性和運營效率。但是,企業通常依賴陳舊過時的工具或單獨的隔離解決方案來保護每個單獨環境中的數據安全。”Radware公司運營商戰略和業務開發副總裁Mike O'Malley說,“過渡到混合云環境,需要企業對配置和解決方案進行投資,這些配置和解決方案將專門用于保護混合云,并管理跨多個環境的新數據安全。”
O'Malley認為實施自動化是關鍵,這是因為安全流程實現現代化和自動化是減少或限制那些人為錯誤的關鍵措施。
計算機設計和集成高級解決方案架構師Michael Colonno說:“自動化和編排是非常重要的,因為可以消除人為因素。這是因為實現安全性的所有重要和可重復的步驟都是在調配工作負載時自動設置的。”
例如,Colonno列舉了幾個企業或政府機構“忘記”加密公共云存儲桶中的數據的多個示例,這些基本上是人為錯誤,并且可以實現自動化避免這些錯誤。
每個環境都需要關注從單一的同構的基礎設施轉向跨越私有云、公共云、傳統本地數據中心環境的體系結構,可以提供更高的敏捷性、可擴展性和其他優勢。但這也意味著企業的威脅面分布越來越廣泛。這是現實,而不是借口。
“正在做這件事的組織已經評估了所有正在運行的環境,因此他們將有需要保護的完整清單。”Evident.io公司首席執行官兼共同創始人Tim Prendergast說,“他們正在構建整個組織的安全文化,并將重點放在保護數據上,而無論數據存儲在哪里。”
這里的總體戰略是確保適當的可見性和所有權。企業可以按照其認為合適的方式分配責任,但是每個環境都需要安全保護。
Prendergast分享了一個客戶的例子:“我們的一個客戶利用各種云服務,可以讓那些已經開始在這些環境中工作的人知道他們如何尋求指導和最佳實踐。”
保證傳輸過程的數據安全Qwyit公司創始人兼首席技術官Paul McGough指出,混合云安全通常也增加了不僅要求保護各種環境,而且要保證數據在這些環境之間移動時的安全需求。
“數據安全和加密的目標是確保它在傳輸和空閑時的安全控制。”McGough說,“數據傳輸的地方越多(例如在混合云環境中),就變得越困難。存儲數據的地點越多,同樣出現的問題也越多。因此,加密算法以及各種參與者的安全策略和實踐的能力都很重要。”
加密和密鑰管理確實很重要,但是企業的工具和流程仍然需要人為的監督和行動。
“這些加密技術一起提供數據保護、參與策略和實踐,提供了系統的控制和保護。”McGough解釋說。
