公共云的自助服務(wù)提供模式帶來了許多好處�����,但當(dāng)然也破壞了傳統(tǒng)的IT服務(wù)器配置模式?,F(xiàn)在����,開發(fā)人員可以通過信用卡自行分配資源���,企業(yè)安全團(tuán)隊(duì)也為他們的工作做了切實(shí)的工作�。
IT安全團(tuán)隊(duì)如何使其組織能夠利用云計(jì)算的靈活性和幾乎無限的規(guī)模��,同時(shí)保持對企業(yè)IT和數(shù)據(jù)的控制?本文探討企業(yè)在實(shí)施混合云的安全策略時(shí)面臨的挑戰(zhàn)���,以及Bracket計(jì)算(B-CBC)提供的體系結(jié)構(gòu)解決方案����。
混合云的挑戰(zhàn)
企業(yè)在采用混合云環(huán)境時(shí)遇到三大挑戰(zhàn):
首先��,混合云意味著混合的復(fù)雜性����。云計(jì)算服務(wù)提供商產(chǎn)品的異質(zhì)性為試圖解決和執(zhí)行同一套安全策略的團(tuán)隊(duì)帶來了巨大的復(fù)雜性。代理和虛擬設(shè)備可能難以管理�,分割規(guī)則可能會造成流量堵塞或允許太多的參與者。數(shù)據(jù)和工作負(fù)載可移植性會增加這些風(fēng)險(xiǎn)��,如人為錯誤增加的可能性(例如,無意中公開存儲的數(shù)據(jù))���。
對于沒有監(jiān)管約束和環(huán)境的小公司來說�,這種復(fù)雜性可以減輕��。但對于需要一致的密鑰管理(跨云�����,也可以在單個(gè)提供商中的多個(gè)區(qū)域)或獨(dú)立于基礎(chǔ)架構(gòu)提供商的IT組織來說��,這種復(fù)雜性難以克服�����。
其次�,保護(hù)是不完整的。在數(shù)據(jù)中心����,身份訪問,網(wǎng)絡(luò)和存儲的安全策略通常與基礎(chǔ)架構(gòu)相關(guān)�����。使用與IP地址綁定的VLAN�����,子網(wǎng)和ACL實(shí)現(xiàn)網(wǎng)絡(luò)策略�����。保護(hù)資產(chǎn)通常依賴于限制對存儲硬件的網(wǎng)絡(luò)訪問����,而不是保護(hù)數(shù)據(jù)本身。但隨著數(shù)據(jù)中心變得越來越混雜����,企業(yè)失去對基礎(chǔ)設(shè)施的控制,外圍和網(wǎng)絡(luò)防御措施就變得不足夠了�����。微分段提供額外的保護(hù)�����,但網(wǎng)絡(luò)只是企業(yè)工作負(fù)載的一部分���。
在沒有物理控制的情況下����,IT安全需要找到其他方式來對部署在云上的工作負(fù)載進(jìn)行邏輯控制。
第三��,確保透明����、可證明的控制是一件頭痛的事。采用混合云擴(kuò)展了審計(jì)范圍��,因?yàn)镮T必須管理各種安全態(tài)勢��。在多個(gè)環(huán)境中建立可見性和驗(yàn)證控制是困難的�,IT了解數(shù)據(jù)訪問的方式和位置有限。
此外�����,對于受特定監(jiān)管關(guān)注的公司(例如HIPAA)���,供應(yīng)商提供的加密通常會引起行業(yè)的反對�。在大多數(shù)審計(jì)中��,對數(shù)據(jù)的驗(yàn)證控制是必不可少的,但在混合云上很難保證����。
最后�,在不破壞云的自助服務(wù)模式的情況下,保持IT和開發(fā)組織之間的職責(zé)分離是困難的���。IT安全必須提供嚴(yán)格的控制隔離�,干擾開發(fā)人員自助服務(wù)采購以保護(hù)資源�����,或者在開發(fā)團(tuán)隊(duì)中實(shí)現(xiàn)敏捷性���,但風(fēng)險(xiǎn)由配置基礎(chǔ)架構(gòu)資源的團(tuán)隊(duì)關(guān)閉����。
透明的云安全
Bracket計(jì)算提供全面的工作負(fù)載隔離軟件�,旨在解決這些挑戰(zhàn),并使企業(yè)能夠通過一套先進(jìn)的IT安全控件在混合云環(huán)境中安全地運(yùn)行工作負(fù)載���。Bracket提供加密的微分割�����,其中包括使用客戶控制的密鑰��,數(shù)據(jù)和運(yùn)行時(shí)完整性監(jiān)控的靜態(tài)數(shù)據(jù)和運(yùn)動數(shù)據(jù)的永久加密��,以及在違規(guī)時(shí)捕獲內(nèi)存的可審計(jì)性和取證功能����。
Bracket計(jì)算適用于本地VMware云端,以及Amazon Web Services����,Microsoft Azure和谷歌云平臺。Bracket解決方案的執(zhí)行機(jī)制是一個(gè)稱為Metavisor的輕量級虛擬化層����,不僅提供對網(wǎng)絡(luò),存儲和計(jì)算的精細(xì)控制��,而且可以透明地插入和審核這些保護(hù)服務(wù)���,而不會對開發(fā)人員或數(shù)據(jù)中心運(yùn)營團(tuán)隊(duì)產(chǎn)生任何影響�。
Bracket架構(gòu)由以下四個(gè)屬性定義:
(1)通過輕量級虛擬化透明地提供安全性
安全策略應(yīng)在云環(huán)境中透明實(shí)施���。正如用戶在瀏覽器中不知道TLS / SSL一樣����,開發(fā)人員不應(yīng)該注意到工作中的安全性。使用虛擬化來強(qiáng)制實(shí)施策略可以提供這種優(yōu)勢����,不像可能配置錯誤的代理和虛擬設(shè)備�����,會導(dǎo)致性能損失����,被訪問主機(jī)的惡意軟件關(guān)閉,或創(chuàng)建阻塞點(diǎn)�����。
Bracket開發(fā)的輕型虛擬化技術(shù)(稱為Metavisor)不是依賴于傳統(tǒng)的傳遞方式�����,而是透明地提供控件�����,而無需對客戶機(jī)操作系統(tǒng)或應(yīng)用程序進(jìn)行任何修改。在客戶操作系統(tǒng)和云管理程序之間運(yùn)行���,Metavisor僅虛擬化I / O��,而不是整個(gè)工作負(fù)載����。這樣就可以在應(yīng)用程序執(zhí)行過程中脫穎而出�。但是當(dāng)對存儲系統(tǒng)或網(wǎng)絡(luò)進(jìn)行呼叫時(shí),Metavisor攔截這個(gè)呼叫����,進(jìn)入安全服務(wù)。這允許生產(chǎn)工作負(fù)載安全運(yùn)行�,沒有顯著的性能損失。
因?yàn)镸etavisor駐留在與客戶機(jī)操作系統(tǒng)不同的內(nèi)存空間中���,它提供了基于網(wǎng)絡(luò)的解決方案的透明度和不變性��,同時(shí)利用與主機(jī)的一對一關(guān)系����。
(2)安全性適用于完整的工作負(fù)載,而不是基礎(chǔ)設(shè)施
Bracket允許企業(yè)根據(jù)與資源(無論是數(shù)據(jù)�,網(wǎng)絡(luò)鏈接還是實(shí)例)相關(guān)聯(lián)的Bracket標(biāo)簽來編寫微分段和計(jì)算策略。標(biāo)簽已經(jīng)在AWS和其他云平臺上使用����,因此使用Bracket標(biāo)簽適合現(xiàn)有的云工作流程。
如果這些標(biāo)簽被復(fù)制或移動��,它們將保留資產(chǎn)��。寫在標(biāo)簽上的策略的一個(gè)例子可能是
標(biāo)記為‘dev’的環(huán)境只能與標(biāo)記為‘dev’的其他環(huán)境進(jìn)行通信����。
這樣寫��,策略可以像上述一樣����,也可以是非常細(xì)微的,用于控制特定端口�����,數(shù)據(jù)庫主機(jī)或卷�����。這為IT安全性提供了策略支持,可以在沒有物理控制的情況下對工作負(fù)載進(jìn)行邏輯控制����,而不會中斷開發(fā)人員的工作流程。
(3)安全性是基于標(biāo)簽進(jìn)行加密
在靜止和移動中加密數(shù)據(jù)始終處于開啟狀態(tài)����。一旦資源被標(biāo)記,Bracket使用Metavisor來加密地執(zhí)行與這些標(biāo)簽相關(guān)聯(lián)的任何策略����。Bracket管理和傳遞策略允許的加密密鑰,并包括解密磁盤或?qū)ο?����,引?dǎo)實(shí)例或與鄰居通話的功能�����。當(dāng)請求密鑰時(shí)�����,將檢查策略,并將密鑰釋放給Metavisor��,Metavisor將實(shí)現(xiàn)相應(yīng)的策略并允許訪問數(shù)據(jù)����。這樣可以實(shí)現(xiàn)自動化,無差錯的策略執(zhí)行�,而不必妨礙開發(fā)人員或改變其工作流程,這將帶來更多的好處��。
在任何環(huán)境中���,特別是在混合云環(huán)境中�����,它必須處理惡意軟件、惡意內(nèi)部人員和錯誤的風(fēng)險(xiǎn)��。加密強(qiáng)制政策保護(hù)企業(yè)免受威脅���,滿足金融服務(wù)�����、醫(yī)療保健和其他大型企業(yè)的監(jiān)管要求�����。
(4)安全性是跨環(huán)境一致實(shí)現(xiàn)的
IT組織不會異構(gòu)配置本地環(huán)境��,例如�,在一個(gè)數(shù)據(jù)中心中獨(dú)占使用Cisco防火墻,另外兩個(gè)數(shù)據(jù)中心使用Check Point和Palo Alto Networks產(chǎn)品��。然而�,企業(yè)管理多套控制措施來跨混合環(huán)境實(shí)施安全策略。這產(chǎn)生的并發(fā)癥不僅造成人為錯誤和風(fēng)險(xiǎn)增加����,而且使審計(jì)困難。
Bracket的解決方案使得企業(yè)控制能夠在開發(fā)人員工作的每個(gè)地方得到貫徹執(zhí)行��,從而最大限度地降低IT運(yùn)營開銷���,并允許將整個(gè)企業(yè)系統(tǒng)的可見性�����,NetFlow和數(shù)據(jù)訪問日志整合到企業(yè)審核流程中�����。
由于企業(yè)的靈活性和規(guī)?;枨螅旌显频牟捎脤⒗^續(xù)增長���。如果沒有能力跨環(huán)境執(zhí)行單一的控制措施�����,IT安全團(tuán)隊(duì)將不得不面對嚴(yán)重的復(fù)雜性和合規(guī)性問題�。
通過全面的工作負(fù)載隔離解決方案(如Bracket)�����,安全性可以確?��;谠朴?jì)算的解決方案的可擴(kuò)展性�����,基于代理解決方案的基于主機(jī)的場景,以及虛擬設(shè)備的平面網(wǎng)絡(luò)吸引力。它是一種允許企業(yè)利用混合云����,強(qiáng)化IT控制而不中斷開發(fā)人員工作流的體系結(jié)構(gòu)。
