随着企业将工作负载从内部数据中心迁移到云平台,采用多个云平台已经为各种规模的企业带来了一些变革性的运营实践。应用程序环境从内部部署转向公共云,从裸机转移到容器,在安全领域也是如此。希望利用多云的企业需要确保安全性,这是最重要的考虑因素,并在更广泛的行业应用中不断改进其安全实践。
外围边界仍然存在
虽然安全性已经超越了外围边界,这是必要的,但还不足够。
在多云环境中,企业业务的外围边界的概念会发生变化。当工作负载分布在物理数据中心和一个或多个公共云时,外围边界必须从内部部署的数据中心扩展到云中。这通常意味着在云网关上部署安全路由(通常作为VPC网关的一部分)。
管理这种转变的关键不仅仅是在云中部署防火墙。如果资源是可替换的,则无论工作负载位于何处,都需要统一应用安全策略。无论应用程序是在AWS云平台还是Azure云平台中,甚至是在内部部署的数据中心都无关紧要。这意味着企业希望采用能够在多云架构中的多种基础设施中设置安全策略的多云协调平台。
当然,这种架构一直存在。随着多云的发展,选项似乎只会增加。从一开始就为多样化的、多个供应商的环境进行规划,似乎是一种谨慎的保护措施,可以适应多云的未来发展。
连接孤岛
多云的多功能表明,企业最终需要将不同的资源整合在一起。这些基础设施池之间的连接需要确定,这意味着可以在作为多云连接主干的广泛的区域内进行可扩展的加密。
当然,不同的业务会有不同的需求。大型数据中心的运行规模与远程分支机构不同,远程分支机构的应用程序与云中运行的实例不同。与外围边界一样,这里的关键是管理广域网,使操作统一,尽管存在潜在的多样性。
在理想情况下,企业将利用能够管理外围防火墙和构成这些网关的安全路由器的多云协调平台。这意味着随着时间的推移,多云和SD-WAN将会融合。同样,不能规划未来将会增加企业基础设施的投资风险。
分割
虽然外围安全和加密传输很重要,但多云安全的核心是分割和微分割。隔离应用程序、租户、设备等能力是任何缓解策略的关键。
在多云环境下,微分割存在三个挑战。首先,粒度很重要。在正确的地点采取正确的操作是很重要的。正确的操作相当简单:阻塞、重定向、日志等等。但只有在目标很重要的地方才这么做。这意味着分段需要在链接、端口、虚拟机、容器或云计算实例中强制执行。如果太宽泛,其整治比消除威胁更糟糕。如果太狭窄,威胁依然存在。
第二个挑战是运营。如果必须跨越云平台到数据中心等众多基础设施来管理策略,那么需要高效运营。同样,关键在于一个通用的编排平台,它可以连接到不同的底层基础设施,在整个端到端环境中提供可见性和控制。
必须考虑的第三个挑战是需要在异构环境中实现整体安全方法。这不仅仅是裸机服务器上的工作负载以及私有云和公共云的容器中的工作负载。事实上,这些多样化的环境很可能由多云供应商解决方案提供服务,这意味着无论采用何种安全方法,都需要与多云供应商合作视为一个必要条件。
安全永远不会结束
如果过去几年教会了人们什么,那就是安全不是一项一劳永逸的任务。即使采取大量措施,仍将出现威胁。能够在这种多样化的环境中有效地执行高级威胁检测至关重要。
同样,多样性对设计提出了要求。任何的多云安全方法都是开放的。威胁情报源需要从其所在的任何位置获取信息。其解决方案需要能够快速了解??可用信息,然后在部署的任何基础设施中采取缓解措施。
如果解决方案仅适用于多云架构中的特定域甚至子域,那么采用多云必然采用多个云计算供应商提供的云计算服务,这意味着企业需要以不同的方式进行规划。
多云架构中的连接性
如果目标是提供深度防御,很明显企业将需要基础设施的每一部分协同工作。每个设备都需要发挥各自的作用。它是关于连接安全生态系统中资源的协调。
最终,提供连接安全层的关键是运营。企业应该密切关注他们所做出的决策所涉及的运营影响,以确保每个决策使他们向安全和自动化的多云迈进。
