隨著越來越多的數(shù)據(jù)中心管理者轉(zhuǎn)向私有云、公共云以及混合云基礎(chǔ)設(shè)施，面臨著新的安全挑戰(zhàn)，而云計算也提供了新的技術(shù)來幫助應(yīng)對安全挑戰(zhàn)。

基于云計算的基礎(chǔ)設(shè)施有一個明顯的安全問題：由于企業(yè)的業(yè)務(wù)處于云端，可能暴露在公共互聯(lián)網(wǎng)中。企業(yè)存儲在云平臺中的應(yīng)用程序、數(shù)據(jù)、其他資產(chǎn)與位于核心防火墻之后的應(yīng)用程序、數(shù)據(jù)和其他資產(chǎn)相比具有不同的脆弱性。這為攻擊者尋找弱點(diǎn)和漏洞創(chuàng)造了更多的攻擊機(jī)會。

無論是內(nèi)部部署、公共基礎(chǔ)設(shè)施，還是某種混合形式的云計算基礎(chǔ)設(shè)施，都可以使用容器、微服務(wù)、無服務(wù)器功能實(shí)現(xiàn)不同類型的應(yīng)用程序部署。這意味著監(jiān)控應(yīng)用程序安全性的傳統(tǒng)方法已不再適用。

Infiniti咨詢集團(tuán)首席技術(shù)官JohnGray說：“使用無服務(wù)器，有些事務(wù)只運(yùn)行幾微秒就可以完成。那么將如何追蹤？如何監(jiān)控？這正是一些新的應(yīng)用程序監(jiān)視工具真正獲得迅速發(fā)展的原因。”

安全信息和事件管理(SIEM)系統(tǒng)的挑戰(zhàn)

云計算基礎(chǔ)設(shè)施的短暫性也使某些類型的日志記錄變得過時，或者至少需要改變方法。例如，作為將其基礎(chǔ)設(shè)施遷移到云平臺的一部分，一些公司也在考慮將其安全信息和事件管理軟件遷移到云平臺中。

云計算安全供應(yīng)商StackRox公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Ali Golshan表示，安全信息和事件管理(SIEM)系統(tǒng)需要大量的存儲容量，因此將它們和類似的功能遷移到云端可以使降低成本、更易運(yùn)行。但僅僅將安全信息和事件管理(SIEM)系統(tǒng)遷移到云端還不足以應(yīng)對新的云計算網(wǎng)絡(luò)安全環(huán)境。

Golshan說，首先要了解的是，云計算部署不需要存儲太多的歷史數(shù)據(jù)，因?yàn)樵S多歷史數(shù)據(jù)很快就會過時。同時，企業(yè)需要能夠跟蹤容器、微服務(wù)器和無服務(wù)器云功能中發(fā)生的情況。

他說，“很多企業(yè)擁有傳統(tǒng)的環(huán)境，并希望擁有安全信息和事件管理(SIEM)系統(tǒng)，但很多企業(yè)并沒有真正按照歷史數(shù)據(jù)進(jìn)行操作，無法將傳統(tǒng)的安全信息和事件管理(SIEM)系統(tǒng)遷移到基于云計算的新環(huán)境中。”

網(wǎng)絡(luò)安全供應(yīng)商Malwarebytes的Malwarebytes實(shí)驗(yàn)室主管Adam Kujawa表示，如果企業(yè)采用安全信息和事件管理(SIEM)來處理傳統(tǒng)的本地基礎(chǔ)設(shè)施，那么除了節(jié)省成本外，在云中運(yùn)行還有一個額外的好處。他說，“如果企業(yè)在本地網(wǎng)絡(luò)上有一個安全信息和事件管理(SIEM)系統(tǒng)并且被攻破，攻擊者可能會闖入系統(tǒng)并修改日志。但如果將與企業(yè)的網(wǎng)絡(luò)隔離，攻擊者就會更難做到這一點(diǎn)。這是一個額外的安全層。”

企業(yè)還可以進(jìn)一步采用另一方法，在安全領(lǐng)域的不同方面采用不同的云計算提供商的服務(wù)。

云安全供應(yīng)商CipherCloud公司首席執(zhí)行官Pravin Kothari說：“將數(shù)據(jù)與云計算提供商及其他云服務(wù)提供商的所有控制和加密密鑰分開保存已成為一種實(shí)踐。”

面臨的安全挑戰(zhàn)

數(shù)據(jù)中心網(wǎng)絡(luò)安全負(fù)責(zé)人需要時間來了解新的基礎(chǔ)設(shè)施運(yùn)行方式。

Infiniti咨詢公司的Gray表示：“在以往，企業(yè)可以采用業(yè)界常用的工具用于內(nèi)部部署監(jiān)控，人們可以很好地利用它們。”

根據(jù)研究機(jī)構(gòu)CyberEdge Group公司最近的一項(xiàng)調(diào)查表明，在保護(hù)云計算基礎(chǔ)設(shè)施方面，VPS租用，最受歡迎的策略是培訓(xùn)現(xiàn)有員工，這并不奇怪。

40％的受訪者選擇了另一個更受歡迎的策略，即聘請專門負(fù)責(zé)云安全的安保人員。另有36％的受訪者表示，計劃增加外部顧問和承包商的員工，而33％的受訪者表示，計劃采用第三方提供商的安保服務(wù)。只有24％的受訪者表示他們計劃使用來自獨(dú)立軟件供應(yīng)商的云安全軟件或云服務(wù)。

然而，當(dāng)數(shù)據(jù)中心的業(yè)務(wù)開始遷移到云端時，免備案主機(jī)，很多企業(yè)將在一段時間內(nèi)保留其傳統(tǒng)的基礎(chǔ)設(shè)施，如果沒有增加員工，原來管理數(shù)據(jù)中心的工作人員將不僅需要學(xué)習(xí)新的基于云計算的系統(tǒng)，還負(fù)責(zé)管理兩個運(yùn)行環(huán)境的安全性。

Gray說，“AWS、微軟、谷歌，以及整個行業(yè)的廠商都在快速推動云計算環(huán)境的變化。這使得企業(yè)很難知道選擇什么。在六個月后，將會有一些更新的、更容易使用的版本或完全不同的服務(wù)，這使企業(yè)在選擇上變得更加困難。”

但他補(bǔ)充說，除了成本節(jié)約和更大的靈活性外，遷移到云計算還有一個很大的好處。

他說，“它讓企業(yè)有機(jī)會重新開始，從頭開始建立一個數(shù)據(jù)中心。如果做得對，它可以使企業(yè)業(yè)務(wù)處于一個更干凈的環(huán)境中，如果花時間去構(gòu)建它的話。而且，企業(yè)可以在云端更容易地分離出基礎(chǔ)設(shè)施，這樣就可以隔離環(huán)境。”

這意味著與傳統(tǒng)基礎(chǔ)設(shè)施相比，云計算環(huán)境有可能更容易管理，更不容易受到攻擊。

“云計算絕對比在內(nèi)部部署更安全。”他說。

例如，云計算可以更容易地自動化容器和啟動服務(wù)的過程。如果做得好，這意味著數(shù)據(jù)中心可以確保所有正確的控制措施始終到位。

“但如果將自動化搞得一團(tuán)糟，它就會破壞企業(yè)環(huán)境。”Gray補(bǔ)充說。