江苏龙网

  1. 主页 > 生活百科 > >

混合云架构下的安全风险分析和安全解决方案建议( 二 )

混合云架构


对于为租户提供的安全服务,使用openstack构建的私有云,可考虑集成一些安全开源软件(如pfsense,VeryNginx等)实现基本的防火墙和WAF安全服务 。
传统的国内外硬件安全厂商(如绿盟,山石网科等)也开始提供软件化的安全产品和服务,通过软件定义安全SDS架构,可以提供相应的API和openstack等私有云平台进行集成,实现防火墙、负载均衡、入侵检测、入侵防御、WAF等安全功能集中管控的同时,也可为租户提供所需的安全服务 。也有一些硬件安全厂商(如深信服,天融信等),通过超融合系统设备,直接在私有云环境中整合自身的各类安全产品,为租户提供一体化安全服务 。
相对而言更具竞争力的是那些推出混合云解决方案的公有云厂商,基于其自身公有云安全建设和安全服务经验,也许可以为私有云租户提供更加合适、可靠的安全产品和安全服务能力 。
因此对于混合云环境下的私有云安全能力建设,企业需要在传统安全厂商和公有云厂商的安全产品解决方案中做出艰难抉择 。
1.3 混合云环境下的服务器、容器、无服务器应用安全
混合云环境下,企业业务运行的支撑环境包括服务器、容器或无服务器应用(如AWS上基于事件驱动的Lambda函数),这些业务运行环境的安全是企业需要重点考虑的安全问题 。Gartner在 17 年提出了云工作负载安全平台CWPP (Cloud Workload Protection Platforms)的概念,主要就是致力于解决云环境下业务运行环境的安全性问题 。根据产品聚焦的不同安全内容,CWPP产品又可细分为以下7类:
• 支持多种类型操作系统功能
• 漏洞扫描,配置和合规性功能
• 基于身份的细分,可见性和控制能力
• 应用程序控制/所需的状态执行功能
• 服务器EDR,工作负载行为监控和威胁检测/响应功能
• 容器和Kubernetes保护功能
• 无服务器保护功能
混合云环境下,企业应根据自身业务系统实际运行环境,如操作系统类型,是否使用容器,是否使用k8s,是否使用无服务器应用,是否有合规需求等,选择合适的CWPP产品 。此类产品包括青藤云、安全狗、阿里云等多家独立安全厂商或公有云厂商产品 。需要特别注意的是,选择的CWPP产品是否支持或如何支持混合云方式部署,以便后续的统一管理和维护 。
1.4 混合云环境下的数据安全
其实不管是混合云环境,还是传统IDC环境,数据安全都是信息安全的重中之重 。
混合云环境下,企业数据会同时在公有云和私有云中传输和存储,从而增加了数据被监听窃取或被篡改的风险 。因此公有云厂商一般都会提供数据加密、密钥管理、敏感数据发现、敏感数据脱敏、数据库审计、数据库防火墙等安全技术和安全服务以保护云租户的数据安全 。
另一方面,由于公有云厂商自身也会出现如服务器宕机或服务中断事件,从而导致云租户数据丢失的事件也有发生,所以实际操作过程中,大多数企业仍然倾向于划分公有云环境和私有云环境为不同安全等级(或信任级别)的区域,公有云环境更多用于部署业务前端应用并按需扩展,业务敏感数据仍然选择在企业可控的私有云环境进行存储 。
一些传统数据安全厂商(如美创,昂凯科技等)也已推出自己的混合云数据安全解决方案,涉及数据库运维管理平台,数据库审计系统,数据库脱敏系统,数据库防火墙,数据库加密系统等多种软硬件产品 。
对于企业信息安全或者是数据安全管理部门而言,混合云场景下的数据安全仍应遵循数据全生命周期安全管理理念,需要对公司各类数据进行梳理和分类分级,从数据生成和采集,数据传输,数据存储,数据处理,数据交换,数据备份和恢复,数据销毁整个生命周期进行风险评估,选择和实施适合混合云场景的数据安全技术、数据安全产品和安全管理措施,从而真正保障企业数据安全的同时,也可以满足企业需要遵循的各类数据安全标准、法律法规和行业合规要求 。
1.5 统一的混合云安全管理和运营平台
混合云架构下的信息安全运维和运营管理涉及到公有云和私有云环境中的多种安全产品和安全实现技术,从信息安全管理部门的运维和运营效率,以及安全管理的一致性体验角度考虑,需要可以通过一个统一的安全管理平台实现集中化管理 。
如果选择公有云厂商提供的私有云安全解决方案,厂商通常会提供统一的安全管理平台实现对公有云和私有云安全设备和安全服务的集中管理 。


推荐阅读


上一篇:第三方服务挂了,如何保证服务不受影响?

下一篇:什么是容器?什么是控制反转?什么是依赖注入?