混合云安全是用于保护混合云环境的一套实践、程序和技术。
混合云安全保护各种 IT 环境(包括本地硬件、私有云和公有云)的数据、应用和基础设施。混合云安全必须适应私有云和公有云资源的独特特性,并提供统一的安全框架,以确保客户流量在这些环境之间传递时数据和应用的机密性、完整性和可用性。
混合云是一种混合的计算环境,其将公有云(如亚马逊云科技、Microsoft Azure 或 Google Cloud Platform)的计算基础设施与企业的私有云或本地数据中心相结合。混合云的主要优势是灵活:企业可按需增减计算资源,并根据数据安全、合规性、工作负载敏感性或性能要求,选择工作负载的处理地点。
公有云使企业能在第三方服务提供商拥有的共享计算资源中托管应用和数据,还能以即付即用的模式访问几乎所有计算资源,无需在数据中心硬件上投资即可享受巨大的规模经济。私有云由企业控制,是专用而非共享的云基础设施,可由第三方托管服务提供商运营,或托管在私有数据中心并由企业管理。
与公有云相比,私有云能提供更高的控制权和更强大的安全性,从而更适合处理或存储敏感数据,或处理需要高度安全性、合规性和定制性的关键任务应用。
多云是另一种类型的云,企业一般使用不同云提供商的多种云计算服务,以满足特定的业务需求和客户需求。多云安全为部署在多个云服务提供商的多个云计算平台上的数据和应用提供一致、全面的保护。
混合云安全和多云安全之间存在着关键差异。混合云安全侧重于始终如一地保护公有云和私有云中的资源。另一方面,多云安全一般是指使用来自多个云提供商的服务,采用更广泛的安全策略来提供始终如一的保护,防止错误配置、漏洞利用和横向传播威胁。因此,多云安全包括混合云安全。
混合云安全模式使企业能通过将敏感数据和应用保存在本地来提供保护,同时将公有云用于较不敏感的工作负载。不将敏感数据和应用保存在公有云,企业能更好地管理安全风险,这能减轻数据泄露的后果或降低网络攻击的可能性。
这种安全方法利于保证监管合规性,因为企业能将敏感或受保护的数据保存在本地,而将公有云用于处理敏感性较低的数据和工作负载。此外,混合云安全模式还允许企业在发生中断时将公有云用作容灾点,或 “爆发” 到公有云来处理流量激增。
实施混合云安全策略能为企业带来许多优势,但也伴随着多种挑战和风险,包括:
保障混合云环境的安全性及合规性需要有全面的方法,包括一致的安全策略和实践、端到端的可视化以及有力的治理与合规措施,以确保企业能享受到混合云带来的优势,同时其安全态势也不被影响。
混合云安全的架构包括对应用、API、底层基础设施和软件供应链的保护。由于数据需通过数据中心和云环境访问,或通过其他渠道获取,因此数据必须被加密,来确保仅是有效的用户和应用才能访问并使用数据,而这通常是通过某种形式的零信任安全模式实现。零信任规定,所有访问资源的请求(无论是来自网络内部还是外部)都必须接受核实、身份验证和持续评估。
在架构的边界,边缘云服务器和应用容器要经过微分段 [插入新的微分段术语页面的链接],这是一种安全技术,即将网络划分为较小网段,每个网段都有自己的安全策略和控制措施,以隔离和保护关键资产免受潜在的安全威胁。这会创建隔离区 (DMZ),限制对敏感数据和服务器的访问以及攻击造成的影响。这些 DMZ 可用作缓冲区,允许企业将某些服务暴露于公共互联网,同时保证网络的其他部分安全性能始终如一。
防火墙增加了额外的保护层,进一步将云环境与本地资源分开。
混合云安全由三个部分组成:物理、技术和管理。
物理控制措施旨在保障实际硬件的安全,而技术控制措施旨在保护 IT 和处理系统。采用管理控制措施则是为了应对可能影响安全的人类行为或自然因素。
物理控制措施对混合云安全至关重要,因为物理控制措施保障了支持混合云环境的物理基础设施。混合云能跨越多个地点,因此物理安全既是一项特殊的挑战,也是一份重要的责任。
物理控制措施包括对数据中心、服务器机房和其他包含关键基础设施的区域的访问限制。物理控制措施还包括监视系统,如闭路电视 (CCTV) 摄像机、移动探测器和监控系统,它们能监控对关键基础设施的访问并检测是否有未经授权的活动。
此外,物理控制措施也可包括备用电源系统,如不间断电源 (UPS) 和备用发电机,它们能保证混合云环境在停电期间正常运行。
企业应与云提供商签订服务级别协议 (SLA),来确定如何达到物理安全标准。
技术控制措施对混合云安全举足轻重,其包括:
每个用户都有责任保障安全性,而管理控制措施有助于人们以加强安全的方式行事。
企业应为员工、承包商等混合云环境用户提供培训和认知计划。此类培训应涵盖云安全最佳实践、数据分类、访问控制和事件响应等主题,且应根据各利益相关者的具体角色和责任量身定制。
混合云架构为数据恢复和灾难规划及准备提供显著优势。由于混合云包括私有云和公有云,企业能将公有云用于本地数据和应用的故障转移,实现备份、冗余和灾难准备及恢复方案。
混合云安全是复杂的,需要仔细规划、实施和持续管理。企业开始制定混合云安全方法时可以考虑以下最佳实践。
监管合规性。对于在受监管行业(如医疗保健、金融和政府)运营的企业或机构来说,混合云环境中的监管合规性至关重要。企业或机构必须确定适用于其行业的法规、评估其现有基础设施和流程,并实施必要的控制措施以满足要求。这可能包括使用数据加密、访问控制和审核日志以证明合规性。
评估和选择混合云功能时可考虑的解决方案、服务和工具如下。
零信任安全假定不存在传统的网络边缘,认为所有网络流量都可能是恶意的。零信任安全要求所有用户(无论是在企业网络内部还是外部)都要经过身份验证、授权和持续验证,才能获得受保护应用和数据的访问权限。此安全方法包括实施有力的访问控制、身份验证和授权流程,以及持续监控网络流量以检测和应对潜在威胁。
为帮助您简化混合云策略,F5 提供了一套全面的安全和管理工具,可以助您在不同的云端保持一致,并在多个 IT 环境中保护数据和应用。
为帮助您简化混合云策略,F5 提供了一套全面的安全和管理工具,可以助您在不同的云端保持一致,并在多个 IT 环境中保护数据和应用。