资讯专栏INFORMATION COLUMN

如何安全过渡到公共云

Terry_Tai / 1853人阅读

摘要:简而言之,公司需要采取主动系统的方法,使网络安全功能可以适应公共云。将开发运维应用于网络安全如果开发人员可以在短短几秒内启动服务器,但必须等待两周的时间才能让安全团队认同配置,这会削弱公共的云灵活性所带来的价值。

随着企业不断扩大对公共云的使用,它们必须反思如何保护数据和应用程序,并实施四项关键实践。

经过长时间的实验,龙头企业正在认真考虑大规模采用公共云。在过去几年中,很多公司已经改变了IT战略,将越来越多的应用程序和数据转移到公共云基础设施和平台上。然而,公共云的使用颠覆了很多公司多年来积累的传统网络安全模型。因此,随着公司渐渐利用公共云,它们需要大力发展网络安全方面的实践,从而以这样的方式使用公共云——既能保护关键数据又能充分利用这些服务所带来的速度和敏捷性。

虽然迄今为止公共云的采用仍然受到限制,但未来的前景却大不同。在我们研究的公司中,只有40%的公司在公共云平台上的工作负载超过10%;相比之下,80%的公司计划在三年内在公共云平台上的工作负载将达到10%,或计划将云渗透率提高一倍。我们将这些公司称为“立志使用云端的公司”。这些公司得出的结论是,公共云为很多工作负载和实施方案带来了更多的技术灵活性和更简单的扩展。在某些情况下,使用公共云还可以降低IT运营成本。因此,公司正在云中构建新的应用程序和分析功能,并逐渐将现有的工作负载和技术栈迁移到公共云平台上。

尽管公共云平台有诸多好处,但人们对公共云的网络安全性一直心存担忧,这阻碍了公司向云端迁移的步伐。在我们对2016年的云采用的研究中,高管们将安全性视为云迁移的主要障碍之一,其它障碍包括对变革进行管理的复杂性,为云的采用制定引人注目的业务案例的难度。

有趣的是,我们对首席信息安全官(CISO)进行的研究表明,他们的目光变得更长远了,不再局限于“云安全吗?”这样的问题。在很多情况下,他们承认,云服务提供商(CSP)的安全资源远胜一筹,他们如今的疑问是如何安全地使用云服务,因为他们很多现有的安全实践和架构在云端不见得会更高效。如果某些本地控件(例如安全日志记录)没有重新配置,这些控件就不太可能适用于公共云平台。采用公共云还有可能放大某些类型的风险。云服务为开发人员提供的速度和灵活性也可以(在没有适当的配置治理的情况下)用来创建不受保护的环境,很多公司都发现了这样的事实,这让它们十分尴尬。

简而言之,公司需要采取主动、系统的方法,使网络安全功能可以适应公共云。多年来我们一直在云计算网络安全计划上与大型组织展开合作,并与网络安全领导者进行交流,我们相信,以下四种做法有助于公司制定一致、高效的公共云网络安全性方面的方法:

开发以云为中心的网络安全模型:如何在云中管理边界;在多大程度上为应用程序重新设计架构,使风险承受能力和现有的应用程序架构、可用资源和整体云战略保持一致,公司必须为此做出选择。

为公共云重新设计一整套网络安全控件:对每个多带带的控件而言,公司都要确定应该由谁来提供控件,要达到怎样的严格程度。

与提供商的做法相比较,明确网络安全的内部责任:公共云需要一个共享的安全模型,提供商及其客户各自负责特定的功能。公司必须了解这种责任分配的做法(这与传统的外包安排有很大的不同)并相应地对内部流程进行重新设计。

将开发运维应用于网络安全:如果开发人员可以在短短几秒内启动服务器,但必须等待两周的时间才能让安全团队认同配置,这会削弱公共的云灵活性所带来的价值。公司必须通过API为开发人员提供高度自动化的安全服务,就像他们为基础架构服务所做的那样。

开发以云为中心的网络安全模型

对一家初涉公共云的公司来说,使用内部部署的系统已有的控件来构建公共云网络安全模型,这种做法是很诱人。但这可能会引发问题,因为内部部署的控件在没有进行重新配置的情况下不太可能适用于公共云平台。即使在重新配置之后,这些控件也无法在所有工作负载和云平台上提供可见性和保护。由于认识到这些局限性,这些立志使用云端的公司正在对一系列安全策略和架构进行试验,有一些原型已经问世了。

最有效的方法是根据两个因素对公司的网络安全模型进行重新评估:如何定义网络边界以及是否需要针对公共云来更改应用程序架构。边界的定义决定了云网络安全模型的拓扑和边界。与应用程序架构有关的选择可以对应用程序中的安全控件的结合起指导作用。这两个关键选择也会相互影响。例如,公司可以做出这样的选择——通过添加安全功能来使应用程序具有更高的安全性,这些功能可以在处理数据时最大限度地减少敏感数据的泄露,并且不会对应用于已知环境的安全控件做出任何臆断。

为周边的安全性选择一个模型

在这些立志使用云端的公司中,以下三种周边设计模型脱颖而出:

回传:通过内部部署的网络对流量进行回传或路由,半数立志使用云端的公司就是这么管理周边安全性的。该模型吸引了需要在内部使用大部分云工作负载的公司,并希望就工作负载的迁移做出特定的选择,使其符合它们所拥有的架构。在云安全方面经验不足的公司也可以从回传中受益,因为这使它们可以继续使用已然熟悉的本地安全工具。但回传也许不会长盛不衰:立志使用云端的公司中只有11%的公司表示,它们可能会在三年后使用这种模式。

默认采用云服务提供商提供的控件。我们研究的立志使用云端的公司中有36%的公司做出了这样的选择。使用云服务提供商的安全控件的成本可能比使用其它任何一个周边模型的成本都要低,但这却使保护多云环境变得更加复杂。对规模更大、更复杂的组织来说,使用云服务提供商提供的控件似乎是一种临时措施:立志使用云端的公司中有27%的公司表示,它们将在三年内使用此模型(比如今的比率下降了36%)。

清理:清理涉及到对“虚拟边界”的设计并从各种外部提供商提供的解决方案开发云特有的控件。立志使用云端的公司中大约有15%的公司使用这种方法,这种方法使公司能够应用它们能找到的最佳外围安全解决方案,并根据需要进行切换。由于不断变化的解决方案会产生技术需求,因此公司通常会在拥有足够的内部网络安全专业方面的知识来选择供应商并整合其解决方案时进行清理。尽管这些工作可以减缓工作负载迁移到云中的速度,但是清理工作似乎正在增加,立志使用云端的公司中大约有47%的公司表示,它们将在三年内使用云特有的控件。尽管清理的成本和复杂性很高,但组织还是选择了这种方法,以便它们可以支持多云环境,并在需求发展时能更轻松地替换点解决方案(point solution)。

我们研究了众多立志使用云端的公司,发现回传是最受这些公司青睐的周边安全模型。然而,企业正在转向虚拟周边模型,这些模型通过清理来开发周边模型。清理是目前管理周边安全性最不受欢迎的做法,但越来越多的高管表示,他们将在未来三年内使用清理,而不是其它模型。

决定是否为应用程序重新设计应用程序的架构

另一个选择是定义公司的云网络安全方面的立场:通过重写代码或改变应用程序的架构(或两者都做)来重新构建公共云中的应用程序。我们采访的高管中只有27%的人表示他们的公司会这样做。这样做的好处是可以兼容所有的云服务提供商(例如容器架构)、有更强的安全性(使用散列检测篡改检测,内存释放以及调用之间的数据流加密),优越的性能(例如,通过允许水平扩展)公共云,更低的运营成本(因为应用级别的安全保护减少了公司选择最佳安全解决方案的需求)。但是,重新设计云应用程序的架构可能会降低公司的迁移率。因此,在我们的调查中,绝大多数企业(78%)都在迁移应用程序而不是对公共云的架构进行重新设计。

周边安全设计的选择(以及是否使应用程序适配公共云的选择)为云网络安全创建了六个原型。我们的经验表明,只要有五个主要标准,企业就能知道其对整体云网络安全模型所做的决策:公共云安全性方面的有效性、希望达到的云迁移率、支付额外安全成本的意愿、实施新安全计划的所要具备的专业知识、以及企业希望从安全架构中获得的灵活性。

为公共云应用程序重新设计架构可提高安全性,但这可能会降低迁移速度。回传则可以将公司已经熟悉的现有控件扩展到公共云。使用默认的云服务提供商的控件是最简单且最具成本效益的方法。清理控件需要大量安全性方面的专业知识,但它能为多个云提供灵活性和支持。组织可以使用这些标准来选择最佳方法。也就是说,公司不需要将相同的原型应用到整个公共云配置文件。对具有不同要求的应用程序来说,使用不同的原型是可能的,甚至是有利的:为了核心事务系统来能够实现更快的迁移和熟悉的控制,同时使用云服务提供商提供的安全控件来降低成本,加快部署面向新客户的应用程序。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/6504.html

相关文章

  • 如何安全过渡公共的10个步骤

    摘要:麦肯锡公司日前发布的一份调查报告表明全球的云计算采用率正在上升但大多数组织的云计算应用仍处于初级阶段。根据麦肯锡公司的调查报告以下有个步骤可以安全地将企业的工作负载转移到公共云决定将哪些工作负载迁移到公共云。麦肯锡公司日前发布的一份调查报告表明,全球的云计算采用率正在上升,但大多数组织的云计算应用仍处于初级阶段。只有40%的组织在公共云平台上的工作负载超过10%,80%的组织计划在未来三年内...

    Wuv1Up 评论0 收藏0
  • 评估数据中心的计算可行性的CIO指南

    摘要:虽然企业将业务转移到云端越来越普遍,但应考虑数据中心迁移的一系列云计算选项。不适合云计算运行的应用程序将会有机会整合,并可能重新开发新技术。可以通过基于云计算的服务完全取代传统数据中心吗?大多数大型企业的CIO都在问这个问题。成本效益、系统可用性改进、按需扩展计算,以及存储容量的灵活性是企业采用云计算的主要驱动因素。因此,企业在开始实施时需要进行尽职调查。在通常情况下,治理结构和受托责任要求...

    Ryan_Li 评论0 收藏0
  • 如何

    摘要:多云方法是如何工作的,对您的组织意味着什么一个指南最近报道的企业今年已经或计划投资于数字计划。因此,一个组织可能有多个公共云和私有云,或多个混合云,无论是否连接。多云方法提供了最全面的公共云和私有云的混合,与混合云不同,它们不一定需要集成。多云方法是如何工作的,对您的组织意味着什么:一个指南tweet最近报道89%的企业今年已经或计划投资于数字计划。但是,尽管围绕数字化转型展开了讨论,但实施...

    Airmusic 评论0 收藏0
  • 如果你正在计划向端移动,首先要问这13个问题。

    摘要:您的网络如何协调以支持您对客户体验计划的投资这是另一个旨在评估战略一致性的问题,与前面的问题并驾齐驱。哪些内部利益相关者和部门应参与云计划要想让这项计划取得成功,从过渡过程的开始,确保合适的人能坐在桌子旁。如果您正在计划向云的重大转移,请首先提出这13个问题tweet当日历转到2019年时,企业将其内部网络迁移到云的快速速度将继续保持不变,根据计算机经济学中的数字,使用行项目进行迁移。总体而...

    番茄西红柿 评论0 收藏0
  • 为什么企业应该调查混合

    摘要:中小型企业获得云计算优势的一种方法是混合云,但不必全神贯注地投入其中。这就是为什么混合云被称为所有计算领域中最好云平台的原因。这是建议中小企业获得混合云的好处的另一个原因,但是需要在托管安全服务提供商或其他服务专家的帮助下才能这样做。人们对于技术的变化也会产生恐惧。例如,IT专业人士设计了一种优化的策略,可以轻松地将模拟电话服转移到互联网语音协议(VoIP)服务。尽管企业员工了解从模拟电话服...

    fyber 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<