为什么原生云控制不足以实现有意义的微分割?
精确制定的微分割策略可防范未经授权通信的应用程序,并在此过程中提醒运营人员潜在的威胁。
数据和工作负载向云的移动更像是一次仓促的冲刺。在寻求竞争优势的过程中,企业显然渴望利用云计算提供给他们的敏捷性和灵活性,以至于安全常常是事后的想法。但是,云计算提供商不关心这个吗?有些公司惊讶地听到答案是否定的,至少不完全是这样。
云计算和基础设施即服务(IaaS)提供商采用共享安全模式运行。当与客户和潜在客户交谈时,发现即使是大型和复杂的公司也很难将他们的想法包装在这个概念的周围。安全是提供者和用户之间的共同责任,在大多数情况下,其责任相当明确。
例如,区分“云端(公共云提供商)”的安全性(提供者的责任)和“云中(客户)”的安全性。通常,供应商负责保护云计算基础设施的安全,其中包括硬件、软件、网络和物理设施。用户负责保护他们自己的操作系统、应用程序和数据。
这里有些东西会变得模糊不清:云计算提供商可能会提供保护自己资产的工具,但是如果用户选择使用这些工具,则需要负责配置和管理它们,而不是提供商负责。总的来说,云计算用户需要积极主动地认真了解提供商的安全能力,然后弄清楚他们需要做些什么来支持共享安全协议的结束。
微分割面临的挑战
现代数据中心越来越多地是内部部署,私有云和公共云环境的混合体,其中包含一系列物理服务器、虚拟机和容器。这对安全团队构成了一个复杂的挑战:如何在多种环境中提供应用程序和工作负载,以及在各种安全标准和功能不同的提供商之间移动。
目前,云计算安全的主要驱动力是合规性。在审计人员的推动下,安全团队正在积极探索微分割市场,作为满足合规要求的最佳实践。但是许多组织认为这是实施的一个挑战。主要的障碍是缺乏对数据中心资产、工作流程和流程的可见性,即使在单一的云环境中也是如此。
如果没有可见性,很难在微观层面上建立安全策略,如果不是不可能的话。更复杂的是,人们谈论的大多数公司都是基于混合云的工作负载,这些工作负载可以在多个异构的本地部署和云环境中迁移。
原生云控制功能不足
云计算和IaaS提供商经常提供特定于个人的环境工具来设置安全组的安全策略。但是,这些工具并不适合在当今动态数据中心实现大规模微分割。这些并不能解决可见性问题,让用户尝试识别他们的资产用于分组目的。他们倾向于将重点放在OSI模型中的第4层传输层上,而入侵者真正驻留在第7层应用层中的应用程序。原生云安全控制还缺乏动态策略设置或标记功能,这意味着随着工作负载自动向上或向下扩展、更新或修改安全策略的能力也成为将工作负载移至云的关键原因之一。
在多云数据中心中,每个提供商通常专注于在自己的环境中解决问题。使用一个提供商工具创建的策略在迁移到不同环境时将无法执行工作负载,将责任推给用户以管理多个策略解决方案。云计算提供商工具也缺乏设置策略以满足特定合规性要求的灵活性。
精确制定的微分割策略可防范未经授权通信的应用程序,并在此过程中提醒操作人员潜在的威胁。云计算提供商提供的大多数工具都缺乏这种威胁检测方面。
了解云计算客户负责保护他们自己的资产并管理用于保护他们的工具,他们必须超越云计算提供商提供的工具,并将问题交由自己处理。
做这件事需要做什么?
企业用户必须清楚地了解云计算提供商的安全措施的完美程度,并确定他们需要覆盖的内容。这需要了解供应商的安全控制和对环境的持续监控,以确保供应商保持其交易的结束。
为了在混合基础设施中有效地实现微分割,安全团队需要深入了解应用程序和进程、它们之间的关系以及它们的编排数据。此可见性必须扩展到第7层进程来处理级别,以便发现和识别将微程序分组的应用程序。
为简化实施和持续管理,安全管理员需要一个独立于平台的策略创建和控制机制,可在多个融合云环境中运行,并随时随地处理工作负载。他们还需要一个灵活的策略引擎,允许持续更新和完善策略,并在工作负载自动扩展和缩减时动态标记。