知易行難：如何保護(hù)多云環(huán)境？

　　云計(jì)算已經(jīng)成為當(dāng)今網(wǎng)絡(luò)中的重要組成部分，企業(yè)面臨的棘手的問(wèn)題之一是云的管理。在企業(yè)數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)模式轉(zhuǎn)型的過(guò)程中，組織不僅采用了云計(jì)算策略，還構(gòu)建了一個(gè)更為復(fù)雜的多云環(huán)境。而現(xiàn)在企業(yè)開(kāi)始面臨一些云計(jì)算的障礙，其中管理和保護(hù)多云環(huán)境是一大挑戰(zhàn)，尤其是在確保單一平臺(tái)的可見(jiàn)性時(shí)。

　　幾乎所有的組織都已經(jīng)或計(jì)劃實(shí)施某種基于云的基礎(chǔ)設(shè)施來(lái)完成整合和集中數(shù)據(jù)中心或更有效地處理工作流程。基礎(chǔ)設(shè)施即服務(wù)(I aaS)提供了傳統(tǒng)網(wǎng)絡(luò)無(wú)法提供的可擴(kuò)展性和彈性，現(xiàn)在組織正在部署多個(gè)來(lái)自不同提供商的IaaS環(huán)境。

　　公有云環(huán)境在帶來(lái)優(yōu)勢(shì)的同時(shí)也存在很多挑戰(zhàn)，因此虛擬化正在逐漸演變成私有云。基于云計(jì)算的軟件服務(wù)，如銷(xiāo)售管理和離線存儲(chǔ)幾乎無(wú)處不在。根據(jù)第一季度Fortinet的威脅報(bào)告顯示，企業(yè)目前正在使用62個(gè)不同的云應(yīng)用程序，約占其應(yīng)用程序總數(shù)的三分之一。此外，大多數(shù)組織都有通過(guò)應(yīng)用程序或服務(wù)存儲(chǔ)在云端的敏感或關(guān)鍵的數(shù)據(jù)，甚至企業(yè)的IT都不知道這些數(shù)據(jù)存儲(chǔ)在云端，這就是所謂的Shadow IT，一個(gè)日益嚴(yán)重的安全問(wèn)題。

　　要將這些獨(dú)立的云環(huán)境進(jìn)行編排逐漸成為很多IT團(tuán)隊(duì)的真正挑戰(zhàn)，這些團(tuán)隊(duì)仍然需要 管理他們的物理網(wǎng)絡(luò)、越來(lái)越多的端到端設(shè)備、物聯(lián)網(wǎng)(IoT)設(shè)備和不斷增長(zhǎng)的基礎(chǔ)設(shè)施，將以前隔離的運(yùn)營(yíng)技術(shù)(OT)環(huán)境連接到網(wǎng)絡(luò)和互連網(wǎng)。

　　在不斷變化的環(huán)境中跟蹤設(shè)備和數(shù)據(jù)，建立和維護(hù)策略以及確保一致的安全狀態(tài)已經(jīng)變得難以實(shí)現(xiàn)。此外，在多云環(huán)境下，已部署的各種基于云的服務(wù)通常無(wú)法互相通信，我們已經(jīng)實(shí)現(xiàn)了一個(gè)高度交互式系統(tǒng)的網(wǎng)狀網(wǎng)絡(luò)，其實(shí)質(zhì)是一個(gè)中心輻射的設(shè)計(jì)。隨之而來(lái)的是在檢測(cè)違規(guī)和惡意軟件、共享和關(guān)聯(lián)實(shí)時(shí)威脅情報(bào)以及有效的網(wǎng)絡(luò)響應(yīng)方面面臨嚴(yán)峻的安全挑戰(zhàn)。

　　幸運(yùn)的是，大多數(shù)企業(yè)仍然處于構(gòu)建云計(jì)算基礎(chǔ)設(shè)施的初級(jí)階段，這意味著企業(yè)仍然可以規(guī)劃與網(wǎng)絡(luò)演進(jìn)相關(guān)的風(fēng)險(xiǎn)。多云必須從有計(jì)劃的設(shè)計(jì)開(kāi)始，企業(yè)不僅需要理解為什么要采用一系列特定的云服務(wù)，而且還需要了解數(shù)據(jù)、應(yīng)用程序和工作流程如何在這些服務(wù)之間遷移，他們需要明確哪些地方存在風(fēng)險(xiǎn)。

　　一旦建立了安全基準(zhǔn)，企業(yè)就需要選擇合適的工具來(lái)增強(qiáng)和保護(hù)這個(gè)動(dòng)態(tài)且不斷發(fā)展的基礎(chǔ)設(shè)施。對(duì)很多企業(yè)來(lái)說(shuō)，為保護(hù)其靜態(tài)物理環(huán)境而部署的部分或全部現(xiàn)有安全解決方案將無(wú)法保證其分布式多云環(huán)境的安全。同樣，他們需要避免繼續(xù)為每個(gè)云環(huán)境構(gòu)建單獨(dú)的安全解決方案，或者部署獨(dú)立運(yùn)行的專用安全工具。IT資源已經(jīng)不堪重負(fù)，技能型網(wǎng)絡(luò)安全專業(yè)人才的短缺意味著擴(kuò)大網(wǎng)絡(luò)的方式不能適用于日益復(fù)雜的安全環(huán)境。相反，需要根據(jù)安全解決方案的可見(jiàn)性、相關(guān)性和自動(dòng)化來(lái)選擇安全解決方案。

　　可見(jiàn)性

　　虛擬機(jī)按需增加或停止，數(shù)據(jù)按需遷移到應(yīng)用中，工作流程將根據(jù)應(yīng)用程序和最終用戶需要的動(dòng)態(tài)變化進(jìn)行轉(zhuǎn)變，從安全的角度看，用戶不僅需要能夠看到所有的這些變化，還需要一些方法可以應(yīng)用和維護(hù)策略。

　　深入了解每個(gè)云應(yīng)用實(shí)例對(duì)于確定正常流量、識(shí)別異常行為以及跟蹤和監(jiān)測(cè)指標(biāo)至關(guān)重要。這就要求安全工具能夠處理不對(duì)稱的數(shù)據(jù)流，查看并強(qiáng)制新設(shè)備，刪除不必要的規(guī)則，監(jiān)控網(wǎng)絡(luò)中橫向遷移的流量，并隨著環(huán)境的變化立即進(jìn)行調(diào)整。

　　相關(guān)性

　　可視化是與安全工具之間相關(guān)性的需要，一個(gè)地區(qū)的政策變化可能會(huì)在其他地方產(chǎn)生影響和意想不到的后果。為了避免這種情況的發(fā)生，安全工具需要能夠不斷地分享他們所看到的內(nèi)容，而不管他們已經(jīng)被部署到什么地方，以便有效地編排和更新策略。

　　同樣，基本的威脅需要立即共享和相互關(guān)聯(lián)，以便檢測(cè)當(dāng)今更復(fù)雜的攻擊，尤其是哪些專門(mén)設(shè)計(jì)用以逃避檢測(cè)的攻擊。獨(dú)立的安全體系架構(gòu)和試用獨(dú)立管理控制臺(tái)的設(shè)備造成了安全盲區(qū)，為了彌補(bǔ)這一盲區(qū)，IT團(tuán)隊(duì)通常需要手動(dòng)關(guān)聯(lián)數(shù)據(jù)以檢測(cè)威脅，這就是為什么成功的違規(guī)行為通常在幾周甚至幾個(gè)月內(nèi)不被發(fā)現(xiàn)的原因。

　　自動(dòng)化

　　通常攻擊的速度會(huì)非常快，在過(guò)去幾年中，網(wǎng)絡(luò)違規(guī)與數(shù)據(jù)資源攻擊之間的時(shí)間已經(jīng)從半小時(shí)縮短到不到10分鐘。僅僅是人工干預(yù)已經(jīng)遠(yuǎn)遠(yuǎn)不足以應(yīng)對(duì)安全問(wèn)題，為了縮小檢測(cè)和響應(yīng)之間的差距，組織需要實(shí)現(xiàn)自動(dòng)化。這種自動(dòng)化需要與機(jī)器學(xué)習(xí)和人工智能結(jié)合在一起，以便盡可能檢測(cè)到違規(guī)行為，從而實(shí)現(xiàn)自主決策。

　　但是自動(dòng)化僅僅是關(guān)閉檢測(cè)到的攻擊，有效的自動(dòng)化是一個(gè)多步驟的過(guò)程，能夠?qū)崿F(xiàn)整個(gè)分布式網(wǎng)絡(luò)中的數(shù)據(jù)關(guān)聯(lián)和設(shè)備編排。當(dāng)檢測(cè)到異常行為、附件或應(yīng)用程序時(shí)，需要使用signatures和沙箱環(huán)境來(lái)立即分析這些信息，一旦造成了威脅，被盜用的設(shè)備需要立即被隔離并且打上需要補(bǔ)救的標(biāo)記。安全警報(bào)需要到所有的安全設(shè)備中去尋找這一新的威脅的其他實(shí)例，并從云端到核心網(wǎng)中鎖定這一威脅。安全工具需要開(kāi)始回溯攻擊，以確定攻擊發(fā)生的地點(diǎn)，并關(guān)閉違規(guī)行為。

　　為了實(shí)現(xiàn)這一點(diǎn)，安全工具需要能夠作為一個(gè)集成系統(tǒng)一起工作，以便隨著網(wǎng)絡(luò)的發(fā)展跨越和適應(yīng)網(wǎng)絡(luò)。多云網(wǎng)絡(luò)將會(huì)不斷發(fā)展，且保護(hù)安全網(wǎng)絡(luò)勢(shì)在必行。只要進(jìn)行適當(dāng)?shù)囊?guī)劃，開(kāi)發(fā)適當(dāng)?shù)牟呗裕⑦x擇可見(jiàn)性、關(guān)聯(lián)性和自動(dòng)化的工具，組織將能夠充分發(fā)揮多云的優(yōu)勢(shì)，而不會(huì)由于IT資源或引入新的不必要的風(fēng)險(xiǎn)。