混合云安全涉及 跨多個(gè)數(shù)據(jù)中心 和硬件設(shè)備 的服務(wù)網(wǎng)格所有層的 軟件定義網(wǎng)絡(luò)(SDN)、虛擬化和應(yīng)用程序支持。公司越來越多地尋求混合云網(wǎng)絡(luò)的“單一管理平臺(tái)”管理 ，其中包括傳統(tǒng)網(wǎng)絡(luò)管理和數(shù)據(jù)中心管理軟件的所有功能以及改進(jìn)的實(shí)時(shí)數(shù)據(jù)包分析。混合云安全必須在分布式網(wǎng)絡(luò)的所有級(jí)別運(yùn)行，并包括對(duì)尚未在生產(chǎn)中徹底測(cè)試的新的、創(chuàng)新的軟件平臺(tái)的支持。 混合云 安全性給網(wǎng)絡(luò)管理員帶來了獨(dú)特的問題，最好通過工具和實(shí)用程序來解決，這些工具和實(shí)用程序通過實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)包掃描、監(jiān)控和 網(wǎng)絡(luò)分析的嵌入式 SIEM 應(yīng)用程序集成在 SDN 編排通道中。

復(fù)雜企業(yè)組織中的 IT 專業(yè)人員選擇混合云組織，因?yàn)樗С之?dāng)今數(shù)千名員工或多個(gè)軟件開發(fā)團(tuán)隊(duì)的實(shí)際操作方式。由于當(dāng)前 IT 環(huán)境的運(yùn)行方式，業(yè)務(wù)經(jīng)理必須 根據(jù)商品硬件的成本和對(duì)專有或開源軟件服務(wù)的支持，在公共云主機(jī)之間進(jìn)行評(píng)估。在過去十年中，高級(jí)業(yè)務(wù)管理人員迅速為財(cái)富 500 強(qiáng)中的大多數(shù)面向公眾的軟件服務(wù)采用了云外包。但是，這些高級(jí)決策者中的大多數(shù)仍然不允許將高度敏感的數(shù)據(jù)和文件遠(yuǎn)程托管在本地?cái)?shù)據(jù)中心之外。支持 私有云的要求 或本地?cái)?shù)據(jù)中心硬件是 混合云架構(gòu)的主要特征，但這種網(wǎng)絡(luò)形式給安全專業(yè)人員帶來了獨(dú)特的問題和挑戰(zhàn)。

混合云安全問題和挑戰(zhàn)

許多高級(jí)業(yè)務(wù)主管認(rèn)為，社會(huì)工程風(fēng)險(xiǎn)超過了公共云平臺(tái)的好處，并且仍然不會(huì)同意將他們最關(guān)鍵或最敏感的數(shù)據(jù)和業(yè)務(wù)流程轉(zhuǎn)移到遠(yuǎn)程主機(jī)。由于社會(huì)工程風(fēng)險(xiǎn)無(wú)法解決，私有云和本地?cái)?shù)據(jù)中心設(shè)施需要越來越多地與混合云結(jié)構(gòu)中的多個(gè)公共云資源和 SaaS 產(chǎn)品同時(shí)集成來進(jìn)行管理。

2018 年， Kubernetes 發(fā)布了 CVE-2018-1002105，這是一個(gè)基于權(quán)限提升的嚴(yán)重安全漏洞，允許惡意用戶使用 API 調(diào)用控制生產(chǎn)中的共享 Linux 內(nèi)核。此問題影響了生產(chǎn)中 Kubernetes 的每個(gè)發(fā)行版和運(yùn)行時(shí)環(huán)境，需要立即修補(bǔ)。研究人員現(xiàn)在正致力于為容器開發(fā)更好的微分段安全功能。容器虛擬化和管理程序虛擬化之間的差異 導(dǎo)致了混合云安全操作中解決服務(wù)網(wǎng)格這一層的特定問題和挑戰(zhàn)。

在確定采用混合 云架構(gòu)的決定之后 ，系統(tǒng)管理員需要選擇第三方供應(yīng)商軟件來從全球市場(chǎng)上可用的現(xiàn)有解決方案中編排網(wǎng)絡(luò)。在實(shí)踐層面上，這意味著在來自 IT 專業(yè)人士和初創(chuàng)公司的專有許可混合 云編排 平臺(tái)之間進(jìn)行選擇，或者通過訓(xùn)練有素的員工和集成商公司采用開源解決方案。每個(gè)混合云編排平臺(tái)和解決方案提供商都有其獨(dú)特的優(yōu)勢(shì)和劣勢(shì)，其中安全性需要成為在采用之前分析每個(gè)微服務(wù)解決方案時(shí)使用的主要因素。

混合云安全最佳實(shí)踐

混合云安全的最佳實(shí)踐基于服務(wù)網(wǎng)格中交織的安全信息和事件管理 (SIEM) 產(chǎn)品實(shí)施多層保護(hù)方法。模塊化混合云安全系統(tǒng)在管理程序、操作系統(tǒng)、Web 服務(wù)器、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)舆\(yùn)行，網(wǎng)絡(luò)診斷基于通過 Web 流量或其他 I/O 傳輸請(qǐng)求對(duì)數(shù)據(jù)包進(jìn)行實(shí)時(shí)掃描、監(jiān)控和分析。混合云解決方案主要通過基于管理程序虛擬化、容器虛擬化或兩者組合的軟件平臺(tái)進(jìn)行編排。

VMware 開創(chuàng)了一種嵌入式安全協(xié)議系統(tǒng)，該系統(tǒng)在生產(chǎn)中的管理程序級(jí)別運(yùn)行，并在多租戶云環(huán)境中創(chuàng)建微分段。 微分段 改進(jìn)了多租戶硬件上虛擬機(jī)的隔離，以防止在節(jié)點(diǎn)受到惡意軟件、蠕蟲或黑客未經(jīng)授權(quán)的入侵的情況下攻擊向量的橫向傳播。

微分段解決了權(quán)限提升問題，這被認(rèn)為是在企業(yè)生產(chǎn)中大規(guī)模運(yùn)行容器的最嚴(yán)重的安全威脅。

許多安全專家建議在虛擬機(jī)管理程序驅(qū)動(dòng)的 VM 環(huán)境中運(yùn)行容器，以便通過微分段實(shí)現(xiàn)更好的隔離，以防止?jié)撛诘臋?quán)限升級(jí)。VMware 產(chǎn)品在虛擬機(jī)管理程序級(jí)別嵌入了人工智能通知的惡意軟件、防病毒和不良請(qǐng)求掃描，以通過 NSX 分布式防火墻對(duì)生產(chǎn)中的混合云架構(gòu)進(jìn)行深度保護(hù)。NSX 分布式防火墻與 ESXi 一起安裝在由 vSphere 或 vCloud 產(chǎn)品管理的每個(gè)虛擬機(jī)上，將自動(dòng)安全警報(bào)和事件管理與網(wǎng)絡(luò)分析和報(bào)告集成在一起。NSX 還可以作為防火墻即服務(wù)解決方案與 OpenStack 中的 Neutron 集成，以提高混合云的安全性。

混合云安全架構(gòu)

混合云安全始于對(duì) Web 服務(wù)器的物理訪問，這些 Web 服務(wù)器以專有代碼、數(shù)據(jù)庫(kù)、存儲(chǔ)文件、記錄、檔案或其他資源的形式存儲(chǔ)數(shù)據(jù)。由于根據(jù)定義，混合云架構(gòu)中可用的硬件分布在全球多個(gè)數(shù)據(jù)中心，因此 IT 管理員被迫對(duì)所有供應(yīng)商采取“零信任”策略。加密是安全研究人員在“零信任”環(huán)境（例如混合云架構(gòu)中提供的環(huán)境）中保護(hù)數(shù)據(jù)安全的主要方法。加密策略需要應(yīng)用在服務(wù)網(wǎng)格的每個(gè)級(jí)別，以實(shí)現(xiàn)包羅萬(wàn)象。這包括網(wǎng)絡(luò)服務(wù)器或“裸機(jī)”級(jí)別的操作系統(tǒng)和軟件代碼的加密，以及傳輸、遠(yuǎn)程存儲(chǔ)、后端進(jìn)程等中的數(shù)據(jù)。 VMware vSAN Datastore 用于企業(yè)數(shù)據(jù)庫(kù)加密，而 VMcrypt Encryption 則應(yīng)用于云存儲(chǔ)資源、備份和存檔。

實(shí)時(shí)數(shù)據(jù)包掃描是所有網(wǎng)絡(luò)分析的關(guān)鍵要素，越來越多地受到人工智能和機(jī)器學(xué)習(xí)方法的驅(qū)動(dòng)，以防病毒、惡意軟件和反 DDoS 防御系統(tǒng)。邊緣服務(wù)器用于創(chuàng)建與現(xiàn)場(chǎng) LAN 資源加強(qiáng)隔離的 DMZ 區(qū)域。Web 服務(wù)器安全包包括嵌入了虛擬機(jī)管理程序、操作系統(tǒng)、服務(wù)器發(fā)行版、數(shù)據(jù)庫(kù)和應(yīng)用程序組件的多個(gè)防火墻層，這些組件通過實(shí)施實(shí)時(shí)數(shù)據(jù)包分析的第三方軟件實(shí)用程序進(jìn)行擴(kuò)展。網(wǎng)絡(luò)防火墻規(guī)則可以跨 SD-WAN 和 SDN實(shí)施 通過使用主要 IT 供應(yīng)商的云軟件即服務(wù)計(jì)劃來獲取資源。混合云安全的“單一管理平臺(tái)”管理包括自動(dòng) SIEM 響應(yīng)以及復(fù)雜的網(wǎng)絡(luò)分析、系統(tǒng)報(bào)告和隔離警報(bào)消息。

混合云安全的組成部分

關(guān)注服務(wù)網(wǎng)格的所有層是混合云安全的最重要特征。在網(wǎng)絡(luò)服務(wù)器分區(qū)層，公司主要使用管理程序虛擬化或容器虛擬化來部署混合云架構(gòu)。 容器 在生產(chǎn)中運(yùn)行一個(gè)大大縮小的操作系統(tǒng)，其中包含最少的驅(qū)動(dòng)程序包集以提供支持。NanoOS、RancherOS、Alpine Linux、CoreOS 等容器操作系統(tǒng)構(gòu)建通過減少多租戶環(huán)境中內(nèi)核的可用攻擊向量來提高生產(chǎn)中的混合云安全性。操作系統(tǒng)安全更新的自動(dòng)修補(bǔ)加快了關(guān)鍵升級(jí)的上市時(shí)間。Web 服務(wù)器的滾動(dòng)操作系統(tǒng)安全更新已集成到大多數(shù)容器管理和 VM 編排軟件包中.

在應(yīng)用層，版本控制和 CICD 流程可以在部署之前進(jìn)行更好的代碼測(cè)試，可以在沙箱中隔離并在生產(chǎn)中自動(dòng)化，以確保不會(huì)引入會(huì)導(dǎo)致意外 Web 安全漏洞的錯(cuò)誤。 Selenium、Travis CI 和 Cucumber 等DevOps 工具將自動(dòng)化代碼測(cè)試引入到軟件開發(fā)生命周期中，從而提高了定制 Web 和移動(dòng)應(yīng)用程序的混合云安全性。單個(gè) Web 服務(wù)器上的大量微服務(wù)和交互的第三方軟件實(shí)用程序向混合云安全專業(yè)人員提出了戰(zhàn)術(shù)問題，可以通過更好的隔離、微分段和反病毒自動(dòng)響應(yīng)生成在元級(jí)別上解決這些問題由 AI/ML 驅(qū)動(dòng)的實(shí)用程序。

混合云安全的技術(shù)控制

混合云代表一種集成網(wǎng)絡(luò)部署，它跨越一個(gè)或多個(gè)公共云托管環(huán)境，同時(shí)包括對(duì)私有云 硬件的同時(shí)支持 。超過 90% 的企業(yè)表示他們將實(shí)施混合云基礎(chǔ)架構(gòu) 到 2020 年，在其 IT 部門中實(shí)現(xiàn)這一目標(biāo)。許多復(fù)雜的組織支持?jǐn)?shù)千個(gè)具有在線域?qū)傩缘钠放疲渲邪?Web 和移動(dòng)應(yīng)用程序。不同部門和垂直領(lǐng)域的軟件開發(fā)通常由獨(dú)立團(tuán)隊(duì)在相互競(jìng)爭(zhēng)的公共云服務(wù)平臺(tái)上進(jìn)行操作，因?yàn)槊總€(gè)團(tuán)隊(duì)在 Web 服務(wù)器、編程語(yǔ)言和數(shù)據(jù)庫(kù)支持方面都存在明顯的優(yōu)勢(shì)或劣勢(shì)。這些公司將來自數(shù)百名第三方開發(fā)人員的 SaaS 產(chǎn)品集成到日常運(yùn)營(yíng)中，作為員工生產(chǎn)力、銷售、客戶支持和制造的一部分。

這種服務(wù)組織創(chuàng)造了對(duì)混合云安全性的獨(dú)特需求，以通過多層交織的防火墻、 網(wǎng)絡(luò)監(jiān)控來保護(hù)通信、財(cái)務(wù)記錄和存儲(chǔ)中的數(shù)據(jù)隱私 服務(wù)和加密。備份、恢復(fù)和災(zāi)難管理程序與業(yè)務(wù)安全相關(guān)，由需要對(duì)數(shù)據(jù)庫(kù)、存儲(chǔ)文件和軟件代碼版本進(jìn)行多次備份的系統(tǒng)管理員構(gòu)建到混合云架構(gòu)中。然而，多種形式和版本以及跨多個(gè)數(shù)據(jù)中心和設(shè)施的數(shù)據(jù)備份副本的激增產(chǎn)生了獨(dú)特的安全問題，需要通過“零信任”策略在存儲(chǔ)鏈的所有級(jí)別進(jìn)行加密來管理，包括將備份傳輸?shù)降谌秸军c(diǎn)、輔助數(shù)據(jù)中心或替代媒體。混沌測(cè)試、模糊測(cè)試和滲透測(cè)試以在實(shí)時(shí)生產(chǎn)環(huán)境之外無(wú)法預(yù)料的模式模擬潛在的系統(tǒng)故障。