出于安全考虑,许多企业不愿将关键的云应用程序从它们自己的数据中心转移到公共云。雷竞技电脑网站然而,对于管理公共云或私有云(以及考虑云部署的过程)至关重要的自动化、一致的供应,也可以提供提高安全性的附加好处。
当然,并不是所有的云管理工具都能与所有的云提供商一起很好地工作,也不是所有的云管理工具都允许客户将其内部和外部云作为一个单元来管理。例如,基础设施即服务(IaaS)提供商,如Amazon,通常不允许客户调整操作系统下的网络和存储基础设施,迫使客户信任供应商的安全级别。
虽然有些客户会信任证书外,如Amazon Web服务的一级符合PCI DSS,其他人会选择坚持私有云在自己的防火墙,或创建云环境的外部站点使用自己的网络和存储在他们的控制之下。
此外,与内部IT基础设施相比,公共云需要更多地关注网络防火墙、负载均衡器和网络地址转换等组件,以隐藏大多数云提供商分配给服务器的公共IP地址。但是,无论采用哪种模型,大规模云部署所需的自动化、一致的流程不仅提高了这些环境的效率、可靠性和性能,而且还提高了安全性。
仔细思考的好处
对于物理服务器,登台和设置是手工的、一次性的工作;然而,随着虚拟机在线备份供应商Backupify的首席技术官马特•康威表示,为各种类型的服务器创建模板或策略迫使组织“更多地考虑并计划它”。“如果你需要快速重建(某种类型的服务器),你必须编写脚本并实现自动化。”
云管理供应商CohesiveFT的总裁兼首席技术官帕特里克•克潘(Patrick Kerpan)表示,传统服务器通常运行多种类型的软件,以提供不同的服务,而组织通常会在云环境中赋予虚拟机更专业的个性,以执行特定的任务。
他说,标准化这些模板“是一种安全奖励,因为对一般企业来说,任何导致变更控制的因素都是一种安全风险。”
通过决定是否在云中托管特定的应用程序或服务,如果是,则在哪种类型的云中,这一过程将迫使组织评估应用程序或服务的价值。管理软件供应商BMC的云计算营销高级经理Lilac Schoenbeck说,由此产生的部署决策可以提高这些系统的可靠性、正常运行时间和效率,以及它们的安全性。
更多关于云安全的内容
然而,她说,“安全(人员)往往不会很快被邀请参加云架构的讨论,”因为担心他们的谨慎会阻碍云的采用。
软件供应商CA的战略副总裁Andi Mann说,使用内部服务目录或身份管理系统来控制哪些用户可以访问哪些应用程序可以重用这些工作,以确保云安全。需要在一定程度上了解他们是谁,他们可以做什么。如果没有服务目录,“您需要进行大量的手工处理”,以了解员工正在使用哪些云应用程序。
自动配置
因为很多安全漏洞都是人为错误造成的,自动化正确配置服务器也能自动提高安全性。对于包含数十个、数百个甚至数千个vm的云环境,手动配置将非常昂贵和耗时。自动化服务器配置工具可以降低成本,提高业务敏捷性,并帮助防止可能造成漏洞的变化。
Mann说,虽然不是所有的自动化服务器配置工具都能与每个云提供商很好地集成,但这些工具可以帮助组织在正确的操作系统、正确的补丁级别以及中间件、数据库、负载均衡器和管理代理的正确配置上进行标准化。
它们还使管理员能够轻松控制常见的安全敏感设置,例如哪些端口是开放的,哪些服务正在运行。
例如,HyTrust的虚拟管理设备提供服务器配置模板,根据行业框架评估VMware vSphere主机的安全配置,并跨多个设备自动复制策略和模板。
同样,CohesiveFT也销售vpn - cube虚拟防火墙和路由器,以及用于构建虚拟机模板和自动化常见管理任务的管理工具。
云计算的特殊需求促使一些服务提供商开发了自己的工具。IaaS提供商Internap提供的软件可以自动审计其云中的网络交换机配置,从而创建虚拟局域网。该公司负责产品管理和业务开发的高级副总裁Paul Carmody表示,这使得公司能够更安全地将基于云的虚拟服务器与运行数据库等应用程序的物理专用服务器连接起来。
安全管理员还必须通过越来越严格的审计,以符合内部或行业安全标准。一些云配置工具自动生成这样的审计跟踪,有时是自动的、策略驱动的服务器创建的副产品,帮助客户更快地适应业务需求或设备故障。许多自动化配置工具提供关于哪些用户或管理员创建和配置了哪些服务器的报告。
嵌入式安全
虚拟机的结构也有助于提高安全性,因为它的磁盘文件不仅包括所需的操作系统、中间件和应用程序,还包括有助于确保其安全性的配置设置,云管理供应商RightScale的首席执行官Michael Crandell说。
当传送带制造商美国Wirebelt公司的系统管理员Jason Axne备份虚拟机文件时,他知道“你在虚拟服务器级别拥有的所有安全措施都被复制了,因为它是虚拟服务器的副本。”
克兰德尔说,随着企业扩大对云的使用,他们通常会针对不同的工作负载开发许多不同的机器映像。如果映像管理得当,这些封装的安全信息可以帮助确保在创建新虚拟机时自动应用适当的设置。他说,如果做得不好,它可能会造成服务器映像的混乱蔓延,特别是在对原始映像进行补丁和更新时,需要创建具有新名称的新映像。
RightScale通过创建少量的基本映像模板来避免这种情况,这些模板在一段时间内保留相同的文件名,并补充提供特定服务所需的定义。
可以在云中重用的嵌入式配置和安全信息的另一个来源是Microsoft Active Directory,许多客户已经将其用于关于用户和IT组件特征的内部信息存储库。
云服务提供商Centerbeam的执行副总裁、CSO和CTO Shahin Pirooz表示,通过使用Active Directory,客户可以设置策略,根据他们所在的Active Directory组织单元(OU)自动配置服务器。
他说,使用Centerbeam,用户可以将虚拟机拖放到Centerbeam云中的正确OU中,以确保配置正确。其他云提供商允许使用类似的功能,通过使用api设置联邦访问控制来重用Active Directory的配置和安全设置。
分子诊断公司Genomic Health在找到Okta的身份和访问管理服务之前,不得不尝试了几个访问管理供应商。Okta对安全断言标记语言标准的支持允许Genomic Health使用其内部活动目录为20多个软件即服务应用程序提供单点登录服务,计算和IT高级主管Ken Stineman说。
Egenera的PAN Manager使用虚拟化来减轻管理职责,并帮助确保多租户架构的安全,在多租户架构中,不同的客户共享相同的硬件。PAN Manager虚拟化了连接云中的虚拟机的网络,将所有特定于服务器和特定于应用程序的信息存储在存储区域网络上,而不是单独的服务器上。该公司工程高级副总裁Scott Geng表示,由于服务器上没有特定于应用程序的信息,客户可以共享单个或多个平台,同时确保他们的应用程序、数据和网络流量不接触,从而不会构成安全风险。
虚拟化也使得在部署前设置测试服务器变得更容易,这反过来使得在服务器投入生产前测试安全性和性能变得更容易,Backupify的Conway说。用于监视系统负载的工具(通常是开源的)也可以发现攻击,他补充道。
例如,如果该工具检测到一个用户引起的集群范围内的资源泄漏,这可能是分布式拒绝服务攻击或其他一些企图违反的信号。
限制
不幸的是,没有灵丹妙药——没有一个日常的云管理技术能够满足组织的所有安全需求。首先,一个组织越需要完整的、细粒度的安全性,它就越不能使用云管理工具。这是因为决定哪些应用程序可以在服务器上运行,甚至哪些用户可以访问该服务器,并不能控制用户可以或不能在该服务器上执行哪些特定操作。这一水平的基于角色的通常需要控制以确保安全性或遵守管理数据保护的法规。
Aveksa的总裁兼首席执行官Vick Viren Vaishnavi表示,像Aveksa这样的工具可以基于来自身份存储库(如Active Directory)的信息来控制这种细粒度的授权。
云管理供应商ScaleXtreme联合创始人兼首席执行官Nand Mulchandani表示,传统管理工具的成本是另一个障碍。他说,虽然一台虚拟机每小时的成本可能是9美分,但管理它的系统——比如BMC BladeLogic管理自动化套件——“每台服务器的成本是1500美元”。
他说,如此高的成本迫使拥有数千台服务器的组织无法进行自动补丁、配置管理或审计遵从,而是依赖脚本或手动流程。Schoenbeck反驳道,BMC的工具“使您能够获得对[云服务器]的控制,尤其是在云服务器很容易获得的情况下”,以确保云服务器被恰当、安全且具有成本效益地使用。
IaaS提供商Savvis的安全与虚拟化技术副总裁肯•欧文斯(Ken Owens)表示,即使是目前可用的云供应管理工具,也不能支持所有云提供商。这需要使用多个系统来管理私有和公共云中的服务器,从而提高成本和复杂性。Owens预计随着标准接口的发展,集成在未来几年内将变得更加容易。
Mann说,许多基础设施管理工具在将云管理(甚至只是虚拟化管理)与其他IT管理隔离开来的方式上失败了。“一个好的基础设施管理堆栈将通过与管理内部it相同的流程和能力来管理云。”
Mulchandani还警告说,一些内部服务器管理产品不是为在公共云中运行而构建的。他说,大多数为企业内部环境设计的补丁管理工具都需要一个开放的入站端口来接受补丁更新,“你永远不会疯狂到”允许一个带有公共IP地址的公共云服务器上使用补丁更新。ScaleXtreme提供了一个使用单向出站HTTPS端口的补丁管理工具。
附加福利
旨在减少开支的良好云管理实践也可以提高安全性。例如,资产发现工具可以揭示组织中使用的应用程序和其他系统的数量,并将这些发现与正式公布的应用程序列表进行比较。这些实践——通常用于评估组织在云计算中需要多少容量——允许公司通过消除不必要的或重复的应用程序,并将一次性许可捆绑到批量购买协议中来削减成本。这些工具还为安全管理员提供了他们必须保护的云应用程序和服务的更完整列表。
有时,侧面的好处以另一种方式流动——从安全工具到其他业务流程。斯廷曼说,举例来说,虽然对Genomic Health来说,单点登录的主要好处是提高了安全性,但它也使跟踪哪些员工接受了所需的在线培训变得更容易。
他希望,真正的好处是最终能够加快用户离开公司时取消应用访问权限的进程,从而减少目前证明员工已经离开公司所需要的三到四个小时的工作时间适当地去除该公司所有的SaaS系统。
学习曲线
随着越来越多的组织将更多的应用程序转移到云上,许多观察家预测,供应商将提供内部和云管理工具之间更好的集成,并提供优质服务,让客户更好地控制和查看他们的云环境。
曼恩表示,利用管理工具提高安全还可以促进IT经理的职业生涯,帮助他或她从被视为服务的内部供应商,转变为被视为“值得信赖的顾问,拥有为企业提供云服务的经验。”将IT经验丰富的管理安全内部环境的专业知识带到云端。
这篇题为“云计算工具:通过可见性和自动化提高安全性”的文章最初是由方案 .