近年来,安全已经渗透到IT行业的各个方面:数据泄漏、物联网设备、人工智能、容器、开发管道等等。如果有人询问IT领导者所面临的挑战是什么,那么就会得到一个明确的回答:“安全!”
的确,安全很重要。但是安全涵盖许多具有松散关系的问题。企业需要做出业务和IT决策,正拍摄产品形象宣传片确评估风险,并采取具体措施,这要求人们需要梳理并考虑问题,以便人们能够更好地理解真正担心的是什么,人们试图完成什么业务目标,以及适当的权衡是什么。
行业正在进步,但这是一个难题。以下考虑一下人们如何看待2018年的公共云发展情况。
如今,对于公共云安全的讨论已经取得了一些进展。当然,人们仍然可以听到一些行业人士表明他们不会采用“不安全”的公共云的说法。但只是少数一些人。如果查阅任何一个有关多云或混合云的分析报告,其信息很明确:各种规模的企业正在将其部分工作负载从本地部署的数据中心迁移到公共云。
但他们仍然需要评估工作量。例如,企业需要评估工作负载跨多个平台进行交互的其他应用程序和数据,以确定它们是应该迁移到公共云,保持原地不动还是迁移到其他本地部署数据中心或托管基础设施。
他们还有一些考虑因素,了解有关安全和适用的审查适当程度的问题。专家发现企业往往对某些事情过于担心,而对其他事情没有足够的积极性。
当企业担心太少时
许多IT组织过于相信自己的能力,认为可以通过高度熟练的安全专家来保护安全。他们永远不需要处理补丁程序,错误配置的网络设备,内部人员工作或任何设计和操作错误。而近年来的违规事件至少在一定程度上会让这些企业更加关注,并变得小心谨慎。
平心而论,这些态度也应该由于公共云模式的新颖性而有所变化。第三方审计师和监管机构也经常对此谨慎考虑。但现在人们普遍认为,公共云基础设施只要使用得当就可以提供足够的安全属性,适用于组织的需求。首先,公共云的本质是他们使用专业人员、自动化流程和纪律来处理安全问题。
当企业担心太多时
与此同时,有些在公共云上运行工作负载的企业对公共云安全有所怀疑,有时似乎也让其他人面临安全旅游公司危机公关案例问题。某些安全层成为云计算供应商的责任,这种方法被称为“共享责任”模式。但是,在企业仍然处于安全方面的困境中,要清楚地看清楚这一点至关重要。
可以将这种讨论局限于基础设施即服务,但相同的基本原则适用于任何类型的云服务。即使企业只是使用软件即服务,适当的身份和授权控制仍然最终取决于其本身。
许多实践,尤其是操作系统级及以上的实践,不会(或不应该)在公共云中进行更改。其中一种做法是从已知的可信来源获得软件。除了使用经过认证的软件,无论是在本地部署的数据中心还是在公共云中,在整个生命周期中维护这些软件同样重要。实现这一目标的一个有效手段是使用已经建立后端服务的公共云提供商的服务,该服务可以及时提供相关软件补丁的更新,并在必要时进行安装。
当添加容器时
容器扩展了这个模型。容器安全性有很多层次。他们首先利用Linux中的多级安全性、Linux命名空间、安全增强型Linux(SELinux)、Cgroups功能、安全计算模式(seccomp)这五项保护容器的安全功能。
与操作系统和应用程序一样,企业需要知道容器映像最初来自哪里,构建它们的人,以及它们内部是否存在任何恶意(或者完全过时)的代码。在很多情况下,企业使用内部代码库进行最大限度的控制。
容器也应该被视为更广泛的构建系统和整套DevOps流程的一部分。管理这个构建过程是保护软件堆栈的关键。通过坚持“构建一次,到处部署”的理念,确保构建过程的产品与生产中部署的完全一致。保持容器的不变性也很重要:换句话说,不要修补正在运行的容器,而是重建并重新部署。
总之,不要认为公共云安全是一种独特和特殊的东西,它除了IT安全和最佳实践之外还有其他的东西。相反,企业需要了解愿意将哪些责任传递给提供商,然后妥善管理内部和外部服务的组合。