多云环境下数据中心的安全与合规:挑战与统一策略
如今,满足不同云计算服务供应商(CSP)和用户的数据中心的安全性和合规性需求,仍然是一项棘手的挑战。许多企业正在将业务关键型工作负载迁移到云端,或已完成迁移;还有一些企业为选定应用程序采取 “提升和转移” 方法,利用传统系统的新集成。而在云计算旅程中,企业可能会因多种原因选择不同的供应商。
IT 团队可能为某些业务功能选择私有云,此时需考虑云计算供应商数据中心的位置和合规性基础;同时,公共云可能因成本、易部署、覆盖范围和性能等因素,成为托管面向互联网的 Web 应用程序的理想环境。这种新设置还可利用低延迟的边缘计算,为不同用户提供功能支持。
此外,对于在内部部署运行的系统,企业可通过在私有云环境中利用供应商管理的实例,为内部应用程序(如企业资源计划(ERP))提供更大价值。更紧密的集成能让团队从大量数据(其中大部分是敏感数据)中获得更多洞察力,而拥有开放的生态系统至关重要,但必须确保只有授权用户才能访问。
一、创建和维护安全策略的核心价值
混合云和多云架构使得网络边界模糊,这成为当今 IT 安全专业人员的首要考虑因素。过去,安全性曾阻碍云迁移,尤其是在缺乏合适工具来维护对组织应用程序及敏感数据的控制和可见性时。如今,安全性已成为推动因素,让有抱负的数字领导者能够充分利用现代云计算的所有功能。
根据共享责任模型,组织仍需对其工作负载及其中的数据安全负责。现代云计算环境并未否定基于威胁建模、考虑专有数据和用例的安全工程需求,其核心是了解为应对各种风险源(监管、人为错误、威胁因素等)而部署的控制措施。
以往,当实例分布在不同提供者和环境中时,安全团队可能不得不部署不同的控件(部分来自云计算服务提供商或第三方),但现在情况已不同。
二、云安全操作(CloudSecOps)工具:跨云环境的统一解决方案
当今的 IT 安全从业人员正在采用专为 “跨云” 迁移者设计的云安全操作(CloudSecOps)工具,这些工具最终将助力企业成为云原生数字领导者。此类工具能够编排安全管理功能,在不同环境中提供一致的策略,其优势众多且相互支持:
1. 可预测性
多环境控制在审计过程中极具优势,当内部治理和合规团队确认政策得到有效应用时,所需证据易于获取且格式统一,便于验证系统是否受到与其敏感性和重要性匹配的控制。若发现差距,修复措施可应用于所有环境,而非零碎修补。
2. 集中日志记录和统一
日志是安全分析的基础,安全操作中心(SOC)使用通用格式关联和响应事件 —— 这些事件可能表明恶意参与者使用类似技术和流程针对不同端点。统一能力(即在单个数据集中收集安全和操作数据以关联和分析网络威胁)能减少拼接不同数据的时间,也是选择云计算服务提供商时的关键标准。
3. 可扩展性
随着组织发展,应用程序需要处理更多数据、部署更多实例,安全层必须同步升级。DevOps 团队需要的安全控制,应能在单个控制平台上扩展并显示性能,或能以最小的进程开销创建和管理警报。
4. 集成和编排
安全控制不应成为孤岛,保护跨环境工作负载的安全控制更是如此。对于具有成熟 DevOps 功能的团队,控件之间需要紧密集成,以构建自动编排和管理功能。一个集成的通用安全平台,相比为无数控件设计自动化,能节省时间、资金和精力 —— 部署时对同一函数执行一次即可,无需多次操作;更改政策时,独特平台可几乎实时地扩展所有属性的对策,不受托管环境限制。
三、通用工具:安全与合规的最优实践
在安全方面,多样性很重要(尤其在纵深防御中),但在选择对抗威胁和实现跨云环境合规性的最佳安全控制时,通用性是首选。除上述四大优势外,通用工具还有更多价值:当组织转向云优先模型时,采用单个平台能让所有利益相关者轻松使用和保障安全。
要采用这种方法,安全团队必须在底层帮助定义云计算旅程,使最佳实践变得简单 —— 而通用工具正是组织需要考虑的最佳且最简单的实践。
结语:以统一策略应对多云安全挑战
多云和混合云环境为企业带来灵活性和效率的同时,也加剧了安全与合规的复杂性。通过采用云安全操作工具实现统一策略,企业能够在复杂环境中保持安全控制的一致性、可预测性和可扩展性,从而在充分利用云计算优势的同时,筑牢安全防线,满足合规要求。在云原生时代,统一的安全策略不仅是技术选择,更是企业数字化转型成功的关键保障。
