如何保护混合云：IT专业人士需要知道的几件事

保护一个公司的混合云环境并不那么简单。SANS的一名分析师解释了，为什么以及如何提高混合云的安全性。

公有和私有企业已经确定，将数据和软件平台迁移到云端不是一个非此即彼的命题。IT部门正在学习运行一个本地私有云和第三方公有云服务的混合体。随着计算需要和成本发生改变，创建一个混合云平台就能够允许工作负载在私有和公有云之间来回移动，从而使得企业能够拥有更大的灵活性和更多的数据部署选项。

混合云有优点也有缺点。对于那些使用混合云技术的人来说，享受它所提供的便利性和适应性是有代价的：安全团队必须保护公司数据，而且在许多案例中，还必须跨多个环境保护专有流程。Voodoo Security的首席顾问和SANS分析师Dave Shackleford决定在SANS的白皮书《保护混合云：传统VS .新的工具和策略》中解决这些问题。

“随着越来越多的人开始采用混合云模型，他们将需要让其内部安全控制和流出适应公有云服务提供商的环境，”Shackleford写道，“首先，应当更新风险评估和分析实践，以便持续审核列举在图1中的项目。”这些项目列举如下。

• 云提供商安全控制、功能和合规性状态
• 内部发展以及编排工具和平台
• 运营管理和监控工具
• 内部和云端的安全工具和控制

对于谁最终应当对云的安全负责，目前还没有定论。然而，Shackleford表示，云服务提供商和其客户共同承担责任是需要的。对于客户来说，Shackleford认为其安全团队应当：

• 很好地掌握当前所使用的安全控制；以及
• 更好地掌握他们必须进行修改的安全控制，以便能够成功地在混合云环境中工作。

至于说到为什么，Shackleford解释到：“几乎可以保证，部分安全控制不会像它们在内部环境中那样运行，或者在云服务提供商的环境中是不可用的。”

IT专业人士应当检查的内部流程

Shackleford建议检查以下内部流程。

配置评估：Shackleford表示，涉及安全性时，以下配置是尤其重要的：

• 运营系统版本和补丁级别
• 本地用户和组别
• 密钥文件许可
• 加强型的网络服务

漏洞扫描：Shackleford建议应当持续扫描系统，并在实例的生命周期，上报所有检测到的漏洞。至于扫描和评估所有发现的情况，Shackleford提出，在混合云中通常使用的是以下方式的一种。

• 部分传统的漏洞扫描供应商已经使其产品融入到了云提供商的环境中，同时经常依赖API来避免手动请求，以便有计划地或临时性地执行更多的入侵扫描。
• 依靠基于主机的代理商，这些代理商能够持续扫描其各自的虚拟机。

安全监控：混合云环境几乎总是存在于虚拟多租户服务器上，这使得监控针对每个客户的攻击变得十分困难。“监控虚拟基础设施发生在以下几个地方：VM/容器、虚拟交换机、虚拟机监控程序或物理网络。” Shackleford写道，“在几乎所有的云环境中，我们唯一能真正监控的是云提供商所提供的VM/容器或软件定义的网络。”

“对如何架构监控工具的考虑包括网络带宽、专线连接和数据融合/分析方式，”Shackleford继续说道，“在云实例中由服务、应用程序和操作系统生成的日志和事件应当自动被收集和发送到集中的收集平台。”

至于自动化远程日志，Shackleford感到，大多数安全团队已经知道如何收集适当的日志，从而将它们发送到安全的中央日志服务或基于云的事件管理平台，同时使用SIEM和/或分析工具来更密切地对它们进行监控。

据Shackleford表示，需要监控的方面是无限的。然而，他认为以下事项应当优先考虑：

• 不寻常的用户登录或登录失败
• 在不同云环境之间大量数据的导入和导出
• 特权用户活动
• 更改已审核通过的系统图片
• 访问和更改加密密钥
• 更改权限和身份配置
• 更改登录和监控配置
• 云提供商和第三方威胁情报

单点解决方案是一个问题

“我们所有人都把自己堵死在了一个墙角里，只采用一个服务或产品。由于同样的原因，Shackleford强烈建议，无论如何都要避免单供应商或云原生的情况出现，因为这些情况在不同的供应商和环境中，是没有灵活性的。

“部分供应商的产品只能在一个特定的环境中工作，并且大多数云供应商的内置服务只能在其自己的平台上工作，”他解释到，“当企业需要采用多云策略时，这样的情况将会令人感到非常头疼，因为需要重新对能够满足要求的安全控制进行审查。”

左移位安全

Shackleford是“左移位安全”的坚决拥护者，这是一个很难实现的简单的概念；该概念的理念是，在产品的研发阶段便将安全考虑在内。“换句话说，将安全真正嵌入到研发和运作实践以及基础设施中（有时该实践也称被为SecDevOps或DevSecOps），” Shackleford写道，“安全和开发运维团队应当为多个领域定义和发布不同的IT组织标准，包括批准使用的应用程序库和OS配置。”

最后需要注意的问题

除了常规的尽职调查外，Shackleford还建议，在将数据和/或流程迁移到公有云之前，对所有现有的控制和流程进行一次彻底的检查。“这将使他们能够很好地保护涉及到的数据，同时在公有云环境中拥有同等水平的安全能力，”Shackleford建议到，“寻找能够帮助你在一个地方管理本地和云端资产的工具，因为安全和运营团队通常过于分散，不能跨一个或更多云提供商环境管理多个管理和监控工具。”