企業混合云的安全性淺析

　　如果你的組織正在考慮使用或者已經在使用云服務，那么你可能正在使用若干云部署模型中的一個。

　　首先是公共云，在公共云中云服務是通過公共互聯網提供的。其次是私有云，其基礎設施是專為單一組織的專一性使用而設計的，同時通常也是由該組織對基礎設施進行托管和管理。社區云則是為一組用戶的專一使用而配置的，這些用戶擁有共同的商業利益和運營問題（例如安全性或合規性要求等）。

　　最后，就是混合云了，根據國家標準和技術研究院（NIST）SP 800-145中的定義，混合云是“兩個或兩個以上保持各自實體獨立性的不同云基礎設施（私有云、社區云或公共云）形成的一個組合，該組合采用的標準或專用技術可實現數據和應用程序的可移植性[例如，云之間的針對云資源使用高峰而使用的負載平衡技術]。”

　　混合云實際上是公共云和私有云之間的一個妥協產物：它們可提供“世界上最好的特性”，例如公共云聚集資源的靈活性和可用性，以及私有云的服務與專門安全規定。在本文中，我們將逐一介紹企業混合云安全性的最佳實踐。

　　混合云的安全性問題

　　在混合云環境中，必須在多個角度上解決安全性問題。例如，必須在數據移入和移出云的位置解決安全性問題；對于駐留在云中的數據也必須考慮其安全性問題。在主要的安全性控制措施中，數據加密技術就是其中之一。在具體實施之前，用戶應決定是否對存儲狀態和傳輸狀態的數據進行加密，然后再調查云供應商是否能夠接受你的加密需求。其他額外的安全性考慮還包括：確定防火墻和其他安全設備是否需經過ICSA認證；確保本地數據中心的服務和應用程序的安全性；為鏈接至云的應用程序提供安全措施；確保存儲在一個以上云環境中的數據都是安全的；以及確保移動設備與你的混合云之間連接的安全性。實現以上這些目標的技術包括：更新和強化防火墻規則；擴展使用入侵檢測系統和其他的網絡監控設備以確定在傳輸過程中是否存在著的潛在惡意代碼；審查更新訪問策略與權限以防止未經授權的訪問；在鏈接云資源和你自己的基礎設施之前通過使用雙重認證、智能卡和檢驗證書對這兩者進行驗證；甚至在云和企業之間建立一個開源虛擬專用網絡（VPN）的安全鏈接。

　　在解決混合云安全性問題時，應在專用基礎設施和云基礎設施之間從安全角度實現某一同等的水平目標。如果這是不可能的，那么就可能需要定義數據集和系統的安全參數，然后與云供應商核實，他們是否能夠遵守你的安全規格。請記住，某些如財務系統這樣的應用程序還必須考慮與法規合規性相關的安全隱患。此外，一個組織積極主動管理和影響其基于云的系統和應用程序的安全性的能力將是一個關鍵的考慮因素。

　　混合云的安全性優點和局限性

　　混合云提供了一個合適的“混合”計算資源，所以你可以在此基礎上構建最高效和最符合成本效益的運行環境。

　　混合云的一個示例就是NetApp和Amazon Web Services （AWS）的組合，其中AWS的NetApp Private Storage可讓企業構建一個平衡專用資源和云資源的云基礎設施。另一個例子就是通過個別組織為多個市場提供系統與服務的一個組織（例如一家控股公司）。其中，每個組織都可能擁有其自身獨特的服務交付、存儲和網絡需求。

　　混合云的另一個優點是提供了利用多個資源以實現你所需的服務和性能水平的機會。針對特定需求，你可獲得你所需的資源并只為這部分資源支付費用。從理論上來說，如果有各種不同的應用程序和其他的需求（如災難恢復），那么這一點是非常有意義的，可通過改變每個解決方案以一個或多個云交付的方式來實現這一目標。

　　但是，所有這些靈活性都是存在其缺點的。目前，混合云需要解決來自于安全性和管理方面的挑戰，因為你必須對你所擁有的眾多資源進行監督。例如，在一個混合云和/或多個云環境中，往往存在著出現更多安全漏洞的機會，這是因為在你的網絡和你的云供應商的網絡中有著更多可供惡意代碼植入的“入口點”。即使假設你所使用的每一個云都擁有一流的安全和周邊保護措施，那也無法保證云與裝備資源之間的數據傳輸是真正安全的，除非你使用了一些我們之前所提及的選項，例如鏈接云和企業網絡的VPN、強大的防火墻規則、強大的數據加密技術以及雙重認證策略。

　　專業安全人士應當不斷地嘗試盡可能地減少他們網絡周邊的漏洞。使用混合云配置或簡單地使用多個云只會增加周邊漏洞出現的可能性。你還可能需要多個管理系統用于監督你所正在使用的不同云資產。這不僅可能會增加你的開銷，而且還可能導致難以監控數據流和跨網絡流量中的惡意代碼。

　　安全性是混合云和多個云環境所面對的挑戰的另一個原因是，一旦你在你的控制范圍以外遷移了系統和數據，那么你將需要花費大量功夫以確保云服務供應商的安全控制措施是在保護著你的系統和數據的。如果只使用你自己的監控工具，那可能還是不夠應付需求的；你可能無法足夠地深入其他云“內部”以便于主動地監控流量。

　　安全建議

　　從事先確定你的技術需求開始入手，如存儲容量、網絡帶寬與延遲、以及足夠的工作負載處理能力。其次，確定你可能需要多少不同的云資源。看看你是否能夠在更少的云供應商中通過集中多個工作負載和需求以減少云服務供應商數量；事先為每個應用程序定義你的安全需求；向云供應商提供上述這些詳細信息以確保他們能夠滿足這些要求；確定什么樣的數據將進行跨云服務的傳輸，并應試圖最大限度地減少這些傳輸，因為這將為黑客和惡意代碼提供可乘之機。最后，審查云服務供應商的安全能力，并確保他們能夠始終滿足你的各項需求，確保云服務供應商在盡可能多的位置使用通過ICSA認證的設備。

　　從企業環境中把正在虛擬機上運行的一個現有應用程序遷往位于公共云中的一個類似虛擬機聽上去像是一個可行的方法。例如，檢查一下云環境是否在運行一個不同于Vmware的虛擬機管理程序。此外，確定你管理安全性的方法需要有些什么樣的變化，這是因為你現在需要管理不止一個不屬于你的環境。

　　如果你能夠克服潛在的安全隱患，能夠解決資源管理、性能管理和網絡管理等方面的挑戰，那么混合云對你是意義非凡的。在完美情況下，一個系統應該在最合適的環境中運行，其資源也是合適地匹配其工作的。當然，前提條件就是混合云環境能夠在需要的時候提供所有所需的資源。

來源：CIO時代網

　　版權及免責聲明：凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀