CIO处理混合云安全的五种方法

日期:2015-10-8作者:David Strom

【TechTarget中国原创】

随着CIO们采用了混合云策略,其中一些人快速地认识到这些平台环境需要一些新型的安全模型,或者至少在现有环境中应用现有的控制措施和安全技术。大多数企业还发现,他们的环境并不是简单的纯粹私有云加公有云。原有的内部部署系统,软件即服务(SaaS)应用以及基础设施即服务(IaaS)都将在其中发挥作用。

用于保护公有云和私有云资源的安全工具可能仍然包括诸如防火墙、访问控制和日志管理这样基于边界的控制措施,但是传统IT安全措施的作用也就仅限于此了。“完成工作的方法各不相同,从某种意义上说,西班牙与法国是不同的,”总部位于宾夕法尼亚州Blue Bell的一家全球IT服务厂商Unisys公司的首席信息安全官Dave Frymier说。“安全团队将不得不学习新的语言,但是他们将做的风险分析工作却是与他们目前在企业内部中做的是一样的。”

诸如Unisys和ING(后者是一家总部位于阿姆斯特丹的全球性金融机构)这样的企业正在使用混合云作为整合数据中心的一种方法。这样做是有道理的:你不必提供前期资金来购置、安装、运行你的服务器,你可以按需租用相关资源,并根据运营预算进行费用支付。

与进行实际的投资不同,你可以充分利用IaaS厂商的服务和专业知识,并只在实际需要时租用设备。“IaaS在主要云厂商的努力下已经获得了长足的进步和发展,它已不同于五年前最初的面向客户的云了,”Frymier说。“我们现在拥有一个完全虚拟的基础设施,可以将其用于安全环境的开发,而企业级服务所带来的成本节省要高于之前的客户版本。”

当执行整合任务时,可以集成相关的安全措施,这使得云具有了与传统数据中心相同的安全级别。银行业界已经建立了他们自己的体系架构和网络标准,较早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就担任了银行业架构网络董事会的主席。其主要工作包括了在相应安全等级的前期进行开发的实施指南。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

David Strom
David Strom

投稿作家

云网络和混合云>更多

  • 混合云市场又添新成员:ZStack讲述云的“进化”论

    2017年1月18日,企业专有云、混合云市场的创新者ZStack举办了以“进化”为主题的ZStack产品战略及融资新闻发布会。在发布会上,ZStack表示随着企业应用加速云化,企业云计算正在从项目型向产品型进化,混合云也因为满足敏捷性、安全性等关键需求而获得企业的青睐。

  • AWS和VMware“双赢”联盟:用户是否是“第三赢”家?

    AWS和VMware之间的合作伙伴关系虽然可以对他们在企业级云市场中的合作伙伴有所帮助,但是也带来了与定价和支持相关的问题。

  • 案例:混合云在车联网中的作用

    作为一家汽车制造企业,观致汽车研发了“逸云”平台,这是其首套为客户提供车联网服务的混合云平台。为了在这个快速增长的市场中支持“逸云”以及其他服务,观致汽车需要一个快速、可扩展、稳定的云解决方案,并选择了红帽 JBoss 企业应用平台。

  • 混合云管理平台与现代企业不可不说关系

    混合云管理是现代IT运营领域中的一个热点话题。继续阅读本文以了解它是什么,它的工作原理以及它能够为用户的基础设施做些什么。

相关推荐

  • 持续交付工具领域:DevOps越出SaaS界线

    主要作为软件即服务(SaaS)提供的DevOps工具在本月开始向用户提供了新的部署方式,视图吸引开始流水线化开发流程、但可能并不会将服务部署到公有云上的大型企业。

  • 确保AWS安全:避免犯常见错误

    如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。

  • 从安全和成本来看企业混合云的演变

    各种规模的企业都面临非结构化数据集前所未有的增长速度。 增长的速度和使用的容量主要是源于捕捉和传输数据的物联网设备的快速部署。

  • 2015年混合云技巧TOP 5

    虽然2015年云计算网站给出了关于云计算的各种技巧,涉及安全、用例等等,但是读者和专家探讨的最多的却是混合云部署,过去一年中读者最感兴趣的话题之一也是混合云,包括如何确定混合云迁移策略,混合云中如何自动化数据中心,优势如何等等,在这里我们精选了年度阅读量最多的混合云技巧以飨读者。

技术手册>更多

  • 2013年云计算案例合集

    巨头侵入中国市场,也反映出用户已经接受了云计算技术。在过去的一年中,云计算也在各个行业中有了不俗的表现。

  • 企业备战云迁移指导手册

    向云迁移已经是企业势在必行的工作,但云迁移并非那么简单,面临着一系列的安全、风险问题,企业需要做好成全准备,方能水到渠成。

  • 云计算和大数据实践手册

    调查显示,大数据已经走入组织内部,正在改变开发人员的工作方式。实际上,Gartner的一项调查表明,超过70%的组织计划在2016年对大数据进行投资。

  • 特刊:Hadoop云服务之战

    尽管很多奇怪的梦是相反的,而我们的大多数童年的毛绒玩具不会变大,而且不会走到IT巨头那里,就像谷歌、IBM、微软和雅虎。Doug Cutting的毛绒玩具大象Hadoop却做到了。以一个孩童时期的玩具名来命名,Hadoop被构想成谷歌的MapReduce的一部分。免费的基于JAVA的编程框架已经相当成熟,正在获得大多数IT人士的认可,用其来为企业商业智能分析数据。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】

随着CIO们采用了混合云策略,其中一些人快速地认识到这些平台环境需要一些新型的安全模型,或者至少在现有环境中应用现有的控制措施和安全技术。大多数企业还发现,他们的环境并不是简单的纯粹私有云加公有云。原有的内部部署系统,软件即服务(SaaS)应用以及基础设施即服务(IaaS)都将在其中发挥作用。

用于保护公有云和私有云资源的安全工具可能仍然包括诸如防火墙、访问控制和日志管理这样基于边界的控制措施,但是传统IT安全措施的作用也就仅限于此了。“完成工作的方法各不相同,从某种意义上说,西班牙与法国是不同的,”总部位于宾夕法尼亚州Blue Bell的一家全球IT服务厂商Unisys公司的首席信息安全官Dave Frymier说。“安全团队将不得不学习新的语言,但是他们将做的风险分析工作却是与他们目前在企业内部中做的是一样的。”

诸如Unisys和ING(后者是一家总部位于阿姆斯特丹的全球性金融机构)这样的企业正在使用混合云作为整合数据中心的一种方法。这样做是有道理的:你不必提供前期资金来购置、安装、运行你的服务器,你可以按需租用相关资源,并根据运营预算进行费用支付。

与进行实际的投资不同,你可以充分利用IaaS厂商的服务和专业知识,并只在实际需要时租用设备。“IaaS在主要云厂商的努力下已经获得了长足的进步和发展,它已不同于五年前最初的面向客户的云了,”Frymier说。“我们现在拥有一个完全虚拟的基础设施,可以将其用于安全环境的开发,而企业级服务所带来的成本节省要高于之前的客户版本。”

当执行整合任务时,可以集成相关的安全措施,这使得云具有了与传统数据中心相同的安全级别。银行业界已经建立了他们自己的体系架构和网络标准,较早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就担任了银行业架构网络董事会的主席。其主要工作包括了在相应安全等级的前期进行开发的实施指南。

Richard Seroter

最好的策略包括:使用云-本地或云-第一的安全工具,而不是强迫无法转化的传统技术(例如防火墙或入侵防御设备)来负责内部部署环境和基于云的环境。

无论你是迁移内部资产,还是使用外部云服务,或者是集成私有云公有云和内部部署服务器,这里有五个通用的策略,这是很多CIO们用于缓解安全性问题的良方:

1. 逐步提高用户的受培训程度和加强与他们的沟通。如鸵鸟般把头埋在沙子里并不是一个真正的好策略。“你总是需要站出来解决问题的,”世纪互联技术解决方案公司产品副总裁Richard Seroter说。该公司在2013年收购了Web hosterSavvis,并向全球数据中心提供自助云服务或托管服务。

“只要用户有一张信用卡,那么他就可以基于云在任何地方部署应用,”他说。“与之前在项目结尾时出台各种限制条件不同,我们应学习如何在项目前期就与运营和用户展开协作。”Seroter说,这种方法还有其他的一些好处:“安全性将成为我们向每一位客户做简报内容的一部分,”他指出。“我们不会等待用户向我们咨询安全性方面的问题,而是应尽量采用积极的方法,让我们的客户了解应与我们共同承担的责任——我们试图通过尽可能坦率的对话来讨论他们如何安全地访问他们的数据。”

你还必须注意潜在的法规和法律后果,并对你的员工开展培训。“我们云迁移战略的一个关键部分就是与我们的法务部门协作来定义出一个新的信息安全框架,并于2014年年初推出,”国际红十字会和红新月会的全球CIO Ed Happ说。在2013年,该组织扩大了其与微软公司签订的协议,使得它在187个国家中的80个组织使用云服务,其中就包括了Microsoft Office 365。其目的就是为了腾出资源和节省开支,并通过为全球众多小型国家组织提供相同的访问工具而解决了数字鸿沟问题。

Ed Happ

红十字会在实际应用中发现,该组织所拥有的九成半以上信息都是公开或内部的,这些信息并不需要采用超出商用应用所提供安全等级的安全措施。对于剩下的半成,Happ表示,红十字会会把这类信息集中在它的内部网中,从而帮助全球用户实现工具与他们特定需求和信息安全要求的匹配。具体包括了培训视频和其他关于如何确保应用安全的应用指南。

2.使用更强大的身份验证方法来保护云访问。当仅仅只要一个用户名和密码就能够任意使用你的所有资源时,采用多模式身份验证方法(MFA)和单点登陆方法(SSO)就变得意义非凡了,它们可以更好地保护用户的这些资产。SSO工具能够更好地支持各种广泛的基于云应用和实施。通常情况下,这些产品提供了两个URL:一个供用户进行应用单点登陆的门户页面和一个供IT管理人员使用的管理门户页面。

目前,大多数SSO产品能够实现数以千计应用的登陆自动化。一些SSO工具(例如SecureAuth、Okta、Ping和Centrify)可以针对特定应用作为基于风险身份验证方法的一部分而指定MFA。这使得SSO成为了一个强大的保护工具,而且与依靠用户选择个人密码相比,这也大大提升了登陆的安全性。这也意味着,IT部门可以在定义基于云的资产和匹配合适安全级别中发挥更重要的作用。

3. 开始使用加密的电子邮件和文件传输来保护您的通讯。当您的大部分通讯都是通过互联网进行时,您需要使用更好的方法来保护这些信息,而最好的方法就是使用加密的电子邮件和文件传输。如果您还没有使用,那也没关系,现在这两种加密方法都是简单易用的。

国际红十字会正在使用一个零知识的电子邮件客户端。这个客户端使用了一个共享密码来解密您的消息,并支持相关人士进行回复。在某些情况下,收信人只是通过一些鼠标点击操作就可以进行自我身份验证来阅读消息。在首次通讯之后,收信人就能够与您相当容易地交换加密消息。这样就避免了必须预先选择一个通用通讯工具进行安全消息的传输。红十字会还使用了一个文件传输服务,该服务可对存储状态和传输状态的文件进行加密。这两种产品可用于需要进行高度敏感通讯的应用,例如在不同管理委员会之间进行消息交换或其他更高级工作中的信息交换。

4. 实施更好的访问角色定义以控制您的虚拟机(VM)。随着用户部署越来越多的虚拟基础设施,您需要加强保护措施以保护用户对虚拟机的访问。诸如HyTrust和Catbird这样的产品可以用于部署更高粒度的访问控制,这样用户就可以运行驻留在虚拟机中的应用,而无法启动、停止或删除整个虚拟机。此外,更重要的是这些工具不仅可以在数据中心内运行,而且可以在云中正常工作。这些技术还可用于对访问进行日志记录,就如同其它拥有基于角色访问控制的安全工具产品一样。“我们无法总是看着你不让你做坏事,但是我们可以仔细地实施基于角色的访问控制,从而实现虚拟机之间的相互隔离,并确保用户拥有合适的访问级别,”Seroter说。

5. 为即将到来的微分和虚拟容器做好准备。诸如Docker容器这样的工具能够帮助您集中在云中的资源,并更紧密地针对您的工作负载和需求。不需要负责整个虚拟机,您只需要启动一个虚拟过程或自动链接至针对特定任务的一系列流程。“容器能够存在10秒或者10天,”Seroter说。“你必须知道如何评估攻击面,因为这是一个完全不同的事物。”

微分产品(例如FireHost)能够针对特定的工作负载以编程的方式提供网络服务和策略。他们可以设置特定的VLAN和防火墙,并在虚拟网络接口处强制执行这些策略。“安全专业人员需要比这些新出现的趋势更提前一步,要了解它们的局限性以及如何安全地使用它们,”Seroter说,“不只是预防那些被部署的东西。”