江苏龙网

  1. 主页 > 生活百科 > >

混合云架构下的安全风险分析和安全解决方案建议( 三 )

混合云架构


对于一些安全产品线较为完善的硬件安全厂家(如绿盟,深信服等),也会推出基于自有安全设备的混合云安全解决方案 。通过在公有云环境开辟一个单独的安全管理区域,部署自有各类软硬件安全产品来替换公有云厂商提供的防火墙、WAF、DDoS、堡垒机、入侵检测设备、漏洞扫描系统、日志审计等安全服务,同时在私有云环境同样部署一套类似环境,实现对自有安全产品的统一管理 。此类解决方案通常实施成本较高,存在重复部署问题,同时安全防护能力依赖于厂商现有的安全软硬件产品体系完善程度,不一定能够真正满足企业的实际安全需求 。
如果选择原生Openstack或基于openstack二次开发的私有云平台,如需实现统一的混合云安全管理平台,就会涉及公有云厂商安全服务API接入开发,所选硬件安全厂商提供的安全API接入开发,甚至需要硬件安全厂商的二次支持开发,目前来看,开发工作量和实现难度很大 。
1.6 统一的混合云运维管理通道
对运维人员来说,混合云架构意味着需要在一个或多个公有云环境和私有云环境分别进行系统安装、服务部署、应用发布及日常的更新维护工作 。针对私有云环境进行运维时,需要登录公司内部堡垒机进行操作,针对公有云环境进行运维时,需要登录公有云厂商提供的管理平台进行操作 。同时对于公司安全管理部门来说,也需要在多点部署安全设备或安全工具,实现运维账号和运维权限管理,用户登录和操作日志审计等方面的安全管理工作 。
混合云环境下,运维或安全管理部门,可选择一款多云管理平台(如新钛云服提供的TiOps多云管理平台等),运维人员可以通过统一的平台入口,实现多云资源(包括公有云、私有云、物理机和容器)管理、自动化运维、k8s管理、公有云成本管理、CMDB、监控告警等运维工作,同时实现用户角色和权限管理、用户登录和操作审计及回放等安全功能 。
1.7 混合云环境下的安全合规需求
不同类型的信息安全法律法规条款或安全合规认证内容,都是基于其关心的安全目标和定义的安全检查对象,通过具有不同安全侧重点和不同安全要求的多个检查项,对信息系统及其支撑、运行环境进行安全检查、测试和审计,以确认信息系统及其支撑运行环境中,采取的各类安全措施是否符合需要的安全要求 。混合云环境的合规检查对象,一般都会涉及公有云厂商基础架构、公有云业务、私有云平台和私有云业务 。
比如混合云环境下的等保2.0合规认证,需要分别考虑公有云环境和私有云环境下的等保合规问题 。对于公有云业务,首先要求作为提供基础设施服务(云计算平台)的公有云厂商,必须具备不低于应用系统等保定级级别的网络安全等级保护资质,然后再对企业的公有云业务(云租户信息系统)进行等保测评工作 。对于自建私有云业务,也是首先需要对云计算平台进行定级和测评,然后再对私有云用户业务系统(云租户信息系统)进行定级测评,同样需要私有云平台的安全保护等级不低于其所支撑的业务系统的最高等级 。
类似地,混合云环境下的应用系统如果计划申请PIC-DSS认证、需要满足欧盟GDPR数据保护条例等合规或法律要求时,也是需要提供基础架构服务的公有云厂商具备相应的PCI-DSS认证资质、符合GDRP合规要求,同时对私有云基础架构(云计算平台)和用户业务系统(包括公有云和私有云上的云租户信息系统)进行对应的合规性检测 。
因此混合云环境下,企业需要根据自身合规需要,选择具有对应资质的公有云厂商,同时根据不同合规检查项,对自建私有云平台进行安全自查、安全加固或安全整改,以确保私有云平台和运行的用户业务系统符合合规要求 。
1.8 云安全产品的选择
混合云环境下,许多传统的安全理念、安全产品和安全解决方案已经不再适合,或者说是不能有效解决混合云环境下产生的各类安全风险问题 。与此同时,业界对云安全的研究,也促进了不少新的,更加适合云环境的安全理念、安全模型、云原生安全产品和针对性的混合云安全解决方案,比如gartner推荐的多种安全技术,包括多云管理平台,云工作保护平台(CWPP),云访问安全代理(CASB),云安全配置管理(CSPM),零信任安全解决方案(SDP)等等 。
对于计划或已经采用混合云架构的企业安全管理、安全技术人员,特别是安全架构师而言,需要不断跟进最前沿的云安全技术,熟悉不同的云安全产品功能和特性,以及水平参差不齐的混合云安全解决方案,同时结合企业自身的业务特性、安全目标和实际风险情况,进行测试并谨慎选择合适的云安全服务、云安全产品或混合云安全解决方案,这同样是一件具有很大挑战性和很高风险的任务 。


推荐阅读


上一篇:第三方服务挂了,如何保证服务不受影响?

下一篇:什么是容器?什么是控制反转?什么是依赖注入?