2018 年,管理和预算办公室推出了一项新战略,旨在为组织提供将其应用迁移到云端的路线图。 该指南被称为“云智能”,它推进了 2017 年发布的联邦云计算战略(俗称“云优先”),为各机构提供“切实可行的实施指导,以充分实现基于云的技术的前景和潜力”。
Cloud First 实质上授权机构开始调查其对云的初步尝试,而 Cloud Smart 则寻求降低云迁移的进入门槛。 它针对三个重要领域提供了良好、可靠的指导:安全、采购和劳动力。
我们来重点关注一下Cloud Smart的安全组件。 有几个方面值得一提。
Cloud Smart 强调可信互联网连接(TIC) 的必要性。 然而,它承认传统的 TIC 已经变得“相对不灵活,并且与许多机构的要求不兼容”。 这些机构需要更敏捷、更灵活的解决方案来管理互联网流量并提供更好的安全性。
Cloud Smart 还要求组织对其环境中的应用进行全面盘点。 他们被要求评估这些应用的需求、这些应用位于何处、它们需要哪些服务才能正常和安全地运行(负载均衡、Web应用防火墙等)等等。
最后,Cloud Smart 提倡持续的数据保护和意识。 具体而言,该指南建议各机构应该“除了网络和物理基础设施层之外,还在数据层实施保护”。 为了提供帮助,Cloud Smart 建议实施联邦风险和授权管理计划 (FedRAMP),该计划提供了一种评估安全性和持续监控威胁的标准化方法。
Cloud Smart 的信息很明确:网络边界的传统定义已经被侵蚀;应用是新的网络边缘。 确实,我们已经进入了以云服务和多云应用为主导的数字化转型的新阶段。 这些应用依赖于在内部和外部位置之间自由流动的高度敏感数据。 这种信息流对黑客来说很有吸引力,他们不断寻找利用这种环境中潜在弱点的方法。 必须不惜一切代价保护数据,无论它是存在于本地还是外部,也无论它是处于静止状态还是传输中。
不过,虽然 Cloud Smart 为云应用和数据安全提供了可靠的指导,但它实际上更具描述性而非规定性。 它并没有真正具体说明机构应该如何实施他们的安全措施,或者他们可以使用什么工具来保护他们的数据。 这为组织在使用何种技术保护数据方面提供了很大的自由度。
许多 F5 客户(尤其是使用内部和外部数据中心组合的客户)依赖于云接入点 (CAP) 和虚拟数据中心安全堆栈 (VDSS)。 这些技术得到了国防信息系统局 (DISA) 的批准,并已成为其安全云计算架构 (SCCA) 的核心组件。 它们共同确保托管在云数据中心的应用获得与本地应用程序相同级别的保护。
CAP 将内部部署数据中心与托管云环境连接起来,本质上在两者之间创建了一条安全通道。 无论用户身在何处,他们都可以获得应用的专用连接。
VDSS 是一个安全区域,客户可以在其中托管他们的整个安全堆栈。 它通常由 Web应用防火墙 (WAF) 和下一代防火墙组成,以保护异地托管的应用和数据。 Web 流量在访问应用本身之前会穿过该安全区域。 该区域保护应用免受恶意流量或潜在危害。
组织需要不同的解决方案来在 CAP 和 VDSS 中实施安全。 他们需要能够提供双向 WAF 的解决方案集,使用行为分析、机器人防御和数据加密来保护托管和本地应用。 这些解决方案非常适合保护和管理主机托管数据中心内应用应用的流量。
简而言之,组织需要能够增强其安全态势的解决方案,并帮助他们遵守 Cloud Smart 的号召,即“无论这些环境是在本地、异地、由政府实体还是承包商管理,都应确保联邦信息在传输网络和在系统内时具有机密性、完整性和可用性”。 单击此处了解有关 F5 如何帮助其客户保护其应用、数据和站点的更多信息。