CIO处理混合云安全的五种方法

日期:2015-10-8作者:David Strom

【TechTarget中国原创】

随着CIO们采用了混合云策略,其中一些人快速地认识到这些平台环境需要一些新型的安全模型,或者至少在现有环境中应用现有的控制措施和安全技术。大多数企业还发现,他们的环境并不是简单的纯粹私有云加公有云。原有的内部部署系统,软件即服务(SaaS)应用以及基础设施即服务(IaaS)都将在其中发挥作用。

用于保护公有云和私有云资源的安全工具可能仍然包括诸如防火墙、访问控制和日志管理这样基于边界的控制措施,但是传统IT安全措施的作用也就仅限于此了。“完成工作的方法各不相同,从某种意义上说,西班牙与法国是不同的,”总部位于宾夕法尼亚州Blue Bell的一家全球IT服务厂商Unisys公司的首席信息安全官Dave Frymier说。“安全团队将不得不学习新的语言,但是他们将做的风险分析工作却是与他们目前在企业内部中做的是一样的。”

诸如Unisys和ING(后者是一家总部位于阿姆斯特丹的全球性金融机构)这样的企业正在使用混合云作为整合数据中心的一种方法。这样做是有道理的:你不必提供前期资金来购置、安装、运行你的服务器,你可以按需租用相关资源,并根据运营预算进行费用支付。

与进行实际的投资不同,你可以充分利用IaaS厂商的服务和专业知识,并只在实际需要时租用设备。“IaaS在主要云厂商的努力下已经获得了长足的进步和发展,它已不同于五年前最初的面向客户的云了,”Frymier说。“我们现在拥有一个完全虚拟的基础设施,可以将其用于安全环境的开发,而企业级服务所带来的成本节省要高于之前的客户版本。”

当执行整合任务时,可以集成相关的安全措施,这使得云具有了与传统数据中心相同的安全级别。银行业界已经建立了他们自己的体系架构和网络标准,较早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就担任了银行业架构网络董事会的主席。其主要工作包括了在相应安全等级的前期进行开发的实施指南。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

David Strom
David Strom

投稿作家

云网络和混合云>更多

  • 2016年:混合管理技巧大全

    然而,和任何IT环境一样,对于大多数混合云部署来说,高效的管理实践至关重要——这涉及到的领域包括从网络到数据管理和存储连通性的所有东西。

  • IT领域中混合云管理工具扮演什么角色?

    如今的IT是注重节约成本的,因此每个IT决策都会仔细核算讨论。真正的问题,比如数据丢失、安全性和敏捷性等,在决策之前都需要量化成美元,或者至少估算得八九不离十。

  • 你造吗?多云计算还存在很多问题

    一些专家谈到多云计算,使用多个“基础设施即服务”提供商,是下一波企业云采用的趋势。然而,对于许多IT团队来说,通往多云之路是坎坷的。

  • 混合云市场又添新成员:ZStack讲述云的“进化”论

    2017年1月18日,企业专有云、混合云市场的创新者ZStack举办了以“进化”为主题的ZStack产品战略及融资新闻发布会。在发布会上,ZStack表示随着企业应用加速云化,企业云计算正在从项目型向产品型进化,混合云也因为满足敏捷性、安全性等关键需求而获得企业的青睐。

相关推荐

  • 你造吗?多云计算还存在很多问题

    一些专家谈到多云计算,使用多个“基础设施即服务”提供商,是下一波企业云采用的趋势。然而,对于许多IT团队来说,通往多云之路是坎坷的。

  • 持续交付工具领域:DevOps越出SaaS界线

    主要作为软件即服务(SaaS)提供的DevOps工具在本月开始向用户提供了新的部署方式,视图吸引开始流水线化开发流程、但可能并不会将服务部署到公有云上的大型企业。

  • 确保AWS安全:避免犯常见错误

    如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。

  • 从安全和成本来看企业混合云的演变

    各种规模的企业都面临非结构化数据集前所未有的增长速度。 增长的速度和使用的容量主要是源于捕捉和传输数据的物联网设备的快速部署。

技术手册>更多

  • 也谈应用和云集成

    应用集成从1980年代中期就已经成为企业软件的痛点,也是那个时候我第一次开始做IT报道。同样的老问题让不同的软件共存,大部分是因为业主权益要比开放标准高。

  • 印象Docker

    几年前Docker容器技术一夕之间火遍整个IT界,不论是谷歌、亚马逊还是微软都纷纷加入Docker的阵营中,Docker容器技术已然成为IT业界的一个新风向标。事实上,容器技术并非新兴技术,那么,在新技术让开发人员眼花缭乱的今天,是什么原因让Docker容器技术在IT舞台上大放异彩?

  • SDN技术特刊

    SDN是一种网络防御计划,它能够大大提高网络发现、预防和对抗安全威胁的能力,制定企业的整体安全策略,是建立"自防御网络"的基础。随着网络技术不断地发展,网络安全要从以前被动的方式有所转变,在以前,企业不断在已有的计算机网络上不断添加防火墙,网络入侵检测设备,主机防病毒产品,网络身份认证系统,网络管理系统等等,其目的就是要加强网络的安全性。

  • 云开发系列文摘:Clouds in my Coffee

    现在说云开发正在增长是一个陈述句。正如云作为另一个行业热词已经降温,兴趣却在飙升,企业开始在应用开发中使用。《云开发文摘》第一期中主要为IT和开发经理提供云开发中的趋势、战略和最佳实践的话题。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】

随着CIO们采用了混合云策略,其中一些人快速地认识到这些平台环境需要一些新型的安全模型,或者至少在现有环境中应用现有的控制措施和安全技术。大多数企业还发现,他们的环境并不是简单的纯粹私有云加公有云。原有的内部部署系统,软件即服务(SaaS)应用以及基础设施即服务(IaaS)都将在其中发挥作用。

用于保护公有云和私有云资源的安全工具可能仍然包括诸如防火墙、访问控制和日志管理这样基于边界的控制措施,但是传统IT安全措施的作用也就仅限于此了。“完成工作的方法各不相同,从某种意义上说,西班牙与法国是不同的,”总部位于宾夕法尼亚州Blue Bell的一家全球IT服务厂商Unisys公司的首席信息安全官Dave Frymier说。“安全团队将不得不学习新的语言,但是他们将做的风险分析工作却是与他们目前在企业内部中做的是一样的。”

诸如Unisys和ING(后者是一家总部位于阿姆斯特丹的全球性金融机构)这样的企业正在使用混合云作为整合数据中心的一种方法。这样做是有道理的:你不必提供前期资金来购置、安装、运行你的服务器,你可以按需租用相关资源,并根据运营预算进行费用支付。

与进行实际的投资不同,你可以充分利用IaaS厂商的服务和专业知识,并只在实际需要时租用设备。“IaaS在主要云厂商的努力下已经获得了长足的进步和发展,它已不同于五年前最初的面向客户的云了,”Frymier说。“我们现在拥有一个完全虚拟的基础设施,可以将其用于安全环境的开发,而企业级服务所带来的成本节省要高于之前的客户版本。”

当执行整合任务时,可以集成相关的安全措施,这使得云具有了与传统数据中心相同的安全级别。银行业界已经建立了他们自己的体系架构和网络标准,较早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就担任了银行业架构网络董事会的主席。其主要工作包括了在相应安全等级的前期进行开发的实施指南。

Richard Seroter

最好的策略包括:使用云-本地或云-第一的安全工具,而不是强迫无法转化的传统技术(例如防火墙或入侵防御设备)来负责内部部署环境和基于云的环境。

无论你是迁移内部资产,还是使用外部云服务,或者是集成私有云公有云和内部部署服务器,这里有五个通用的策略,这是很多CIO们用于缓解安全性问题的良方:

1. 逐步提高用户的受培训程度和加强与他们的沟通。如鸵鸟般把头埋在沙子里并不是一个真正的好策略。“你总是需要站出来解决问题的,”世纪互联技术解决方案公司产品副总裁Richard Seroter说。该公司在2013年收购了Web hosterSavvis,并向全球数据中心提供自助云服务或托管服务。

“只要用户有一张信用卡,那么他就可以基于云在任何地方部署应用,”他说。“与之前在项目结尾时出台各种限制条件不同,我们应学习如何在项目前期就与运营和用户展开协作。”Seroter说,这种方法还有其他的一些好处:“安全性将成为我们向每一位客户做简报内容的一部分,”他指出。“我们不会等待用户向我们咨询安全性方面的问题,而是应尽量采用积极的方法,让我们的客户了解应与我们共同承担的责任——我们试图通过尽可能坦率的对话来讨论他们如何安全地访问他们的数据。”

你还必须注意潜在的法规和法律后果,并对你的员工开展培训。“我们云迁移战略的一个关键部分就是与我们的法务部门协作来定义出一个新的信息安全框架,并于2014年年初推出,”国际红十字会和红新月会的全球CIO Ed Happ说。在2013年,该组织扩大了其与微软公司签订的协议,使得它在187个国家中的80个组织使用云服务,其中就包括了Microsoft Office 365。其目的就是为了腾出资源和节省开支,并通过为全球众多小型国家组织提供相同的访问工具而解决了数字鸿沟问题。

Ed Happ

红十字会在实际应用中发现,该组织所拥有的九成半以上信息都是公开或内部的,这些信息并不需要采用超出商用应用所提供安全等级的安全措施。对于剩下的半成,Happ表示,红十字会会把这类信息集中在它的内部网中,从而帮助全球用户实现工具与他们特定需求和信息安全要求的匹配。具体包括了培训视频和其他关于如何确保应用安全的应用指南。

2.使用更强大的身份验证方法来保护云访问。当仅仅只要一个用户名和密码就能够任意使用你的所有资源时,采用多模式身份验证方法(MFA)和单点登陆方法(SSO)就变得意义非凡了,它们可以更好地保护用户的这些资产。SSO工具能够更好地支持各种广泛的基于云应用和实施。通常情况下,这些产品提供了两个URL:一个供用户进行应用单点登陆的门户页面和一个供IT管理人员使用的管理门户页面。

目前,大多数SSO产品能够实现数以千计应用的登陆自动化。一些SSO工具(例如SecureAuth、Okta、Ping和Centrify)可以针对特定应用作为基于风险身份验证方法的一部分而指定MFA。这使得SSO成为了一个强大的保护工具,而且与依靠用户选择个人密码相比,这也大大提升了登陆的安全性。这也意味着,IT部门可以在定义基于云的资产和匹配合适安全级别中发挥更重要的作用。

3. 开始使用加密的电子邮件和文件传输来保护您的通讯。当您的大部分通讯都是通过互联网进行时,您需要使用更好的方法来保护这些信息,而最好的方法就是使用加密的电子邮件和文件传输。如果您还没有使用,那也没关系,现在这两种加密方法都是简单易用的。

国际红十字会正在使用一个零知识的电子邮件客户端。这个客户端使用了一个共享密码来解密您的消息,并支持相关人士进行回复。在某些情况下,收信人只是通过一些鼠标点击操作就可以进行自我身份验证来阅读消息。在首次通讯之后,收信人就能够与您相当容易地交换加密消息。这样就避免了必须预先选择一个通用通讯工具进行安全消息的传输。红十字会还使用了一个文件传输服务,该服务可对存储状态和传输状态的文件进行加密。这两种产品可用于需要进行高度敏感通讯的应用,例如在不同管理委员会之间进行消息交换或其他更高级工作中的信息交换。

4. 实施更好的访问角色定义以控制您的虚拟机(VM)。随着用户部署越来越多的虚拟基础设施,您需要加强保护措施以保护用户对虚拟机的访问。诸如HyTrust和Catbird这样的产品可以用于部署更高粒度的访问控制,这样用户就可以运行驻留在虚拟机中的应用,而无法启动、停止或删除整个虚拟机。此外,更重要的是这些工具不仅可以在数据中心内运行,而且可以在云中正常工作。这些技术还可用于对访问进行日志记录,就如同其它拥有基于角色访问控制的安全工具产品一样。“我们无法总是看着你不让你做坏事,但是我们可以仔细地实施基于角色的访问控制,从而实现虚拟机之间的相互隔离,并确保用户拥有合适的访问级别,”Seroter说。

5. 为即将到来的微分和虚拟容器做好准备。诸如Docker容器这样的工具能够帮助您集中在云中的资源,并更紧密地针对您的工作负载和需求。不需要负责整个虚拟机,您只需要启动一个虚拟过程或自动链接至针对特定任务的一系列流程。“容器能够存在10秒或者10天,”Seroter说。“你必须知道如何评估攻击面,因为这是一个完全不同的事物。”

微分产品(例如FireHost)能够针对特定的工作负载以编程的方式提供网络服务和策略。他们可以设置特定的VLAN和防火墙,并在虚拟网络接口处强制执行这些策略。“安全专业人员需要比这些新出现的趋势更提前一步,要了解它们的局限性以及如何安全地使用它们,”Seroter说,“不只是预防那些被部署的东西。”