出于安全考虑,许多企业不愿意将关键的云应用程序从自己的数据中心转移到公共云中。2020欧洲杯预赛然而,对于管理公共或私有云(以及通过云部署进行思考的过程)来说,相同的自动化、一致的供应是必不可少的,它还可以提供提高安全性的附加好处。
当然,并不是所有的云管理工具都能很好地与所有的云提供商合作,也不是所有的云管理工具都允许客户将内部和外部云作为一个单独的单元来管理。例如,基础设施即服务(IaaS)提供商(如Amazon)通常不允许客户在操作系统下调整网络和存储基础设施,从而迫使客户将该级别的安全信任给供应商。
虽然有些客户会信任证书外,如Amazon Web服务的一级符合PCI DSS,其他人会选择坚持私有云在自己的防火墙,或创建云环境的外部站点使用自己的网络和存储在他们的控制之下。
[也读的SaaS,PaaS和IaaS的:对于云安全核对清单]
此外,与内部IT基础设施相比,公共云需要更多地关注网络防火墙、负载平衡器和网络地址转换等组件,以隐藏大多数云提供商分配给服务器的公共IP地址。但是,无论模型是什么,大规模云部署所需的自动化、一致的流程不仅提高了这些环境的效率、可靠性和性能,还提高了安全性。
深思熟虑的好处
对于物理服务器,登台和安装是手工的、一次性的工作;然而,随着虚拟机在线备份供应商Backupify的CTO Matt Conway说,为各种类型的服务器创建模板或策略会迫使组织机构“更多地考虑和计划它”。“如果你需要快速重建(一种类型的服务器),你必须编写脚本并实现自动化。”
传统的服务器通常运行多种类型的软件来提供不同的服务,而组织通常给云环境中的虚拟机更专业的个性来执行特定的任务,云管理供应商CohesiveFT的总裁兼CTO Patrick Kerpan说。
他说,标准化这些模板“是一种安全好处,因为对于一般企业来说,任何导致变更控制票的事情都是安全风险。”
决定是否在云中托管特定的应用程序或服务,如果在云中托管,则要求组织评估应用程序或服务的价值。管理软件供应商BMC的云计算营销高级经理Lilac Schoenbeck说,最终的部署决策可以提高这些系统的可靠性、运行时间和效率,以及它们的安全性。
在云安全得多
然而,她表示,“安全(员工)通常不会很快被邀请参加云架构的讨论”,因为担心他们的谨慎会阻碍云的采用。
使用内部的组织服务目录或身份管理系统来控制哪些用户可以访问哪些应用程序可以重用的工作安全的云,安迪曼说,战略的副总裁软件供应商CA。使最终用户能够访问云服务,他说,需要某种程度的理解他们是谁和他们被允许做什么。如果没有服务目录,“您将进行大量手动处理”以了解员工正在使用哪些云应用程序。
自动配置
因为很多安全漏洞由人为错误所引起,也将自动正确的自动化服务器配置提高了安全性。含有几十,几百甚至上千个虚拟机的云环境中,手工配置将是非常昂贵和费时。自动化服务器配置工具降低成本,提高业务灵活性,并有助于防止可能产生的漏洞变化。
虽然不是所有的自动化服务器配置工具与每一个云提供商整合好,这样的工具可以帮助企业正确的操作系统,正确的补丁级别,以及中间件,数据库,负载均衡和管理代理权的配置上标准化Mann说。
它们还使管理员能够轻松地控制常见的安全敏感设置,比如哪些端口是打开的,哪些服务正在运行。
例如,HyTrust的虚拟管理设备提供服务器配置模板,根据行业框架评估VMware vSphere主机的安全配置,并跨多个设备自动复制策略和模板。
类似地,CohesiveFT销售vpn立方虚拟防火墙和路由器,以及用于构建VM模板和自动化常见管理任务的管理工具。
云计算的特殊需求促使一些服务提供商开发自己的工具。IaaS提供商Internap提供了一种软件,它可以自动化并审计云中的网络交换机配置,从而创建虚拟局域网。该公司负责产品管理和业务开发的高级副总裁保罗•卡莫迪(Paul Carmody)说,这使得公司能够更安全地将基于云的虚拟服务器与运行数据库等要求较高的应用程序的Internap云中的专用物理服务器连接起来。
安全管理员还必须通过越来越严格的审核,符合内部或整个行业的安全标准。有些云供应工具自动生成这样的审计线索,有时服务器的自动化,策略驱动创造的副产品,帮助客户适应更快地对业务需求或设备故障。许多自动化供应工具提供上创建和配置哪些服务器用户或管理员报告。
嵌入式安全
云管理供应商RightScale的首席执行官Michael Crandell说,虚拟机的结构本身也有助于提高安全性,因为它的磁盘文件不仅包括所需的操作系统、中间件和应用程序,还包括有助于确保其安全性的配置设置。
当传送带制造商Wirebelt Company of America的系统管理员Jason Axne备份VM文件时,他知道“虚拟服务器级别上的所有安全措施都会被复制,因为它是虚拟服务器的一个副本。”
Crandell说,随着组织扩大云的使用,它们通常会针对不同的工作负载开发许多不同的机器映像。如果正确地管理映像,这些封装的安全信息可以帮助确保在创建新vm时自动应用正确的设置。他说,如果做得不好,它可能会造成服务器映像的混乱蔓延,特别是在对原始映像应用补丁和更新时创建具有新名称的新映像。
RightScale通过创建少量基本图像模板来避免这种情况,这些基本图像模板随着时间的推移保留相同的文件名,并使用提供特定服务所需的定义进行补充。
可在云中重用的嵌入式配置和安全信息的另一个来源是Microsoft Active Directory,许多客户已经将其用作关于用户和IT组件特征的内部信息存储库。
使用Active Directory,客户可以在此基础上的Active Directory组织单位(OU),他们在制定政策来自动配置服务器沙欣Pirooz,执行副总裁,CSO兼CTO说,在云服务提供商Centerbeam。
他说,使用Centerbeam,用户可以将VM拖放到Centerbeam云中的正确OU中,以确保它被正确配置。其他云提供商通过使用api设置联邦访问控制,允许使用类似的功能重用Active Directory的配置和安全设置。
基因组健康,一家分子诊断公司,曾找到1563的身份和访问管理服务之前尝试几种接入管理厂商。1563的支持安全断言标记语言标准允许的基因组健康利用其内部的Active Directory来超过20软件作为一种服务应用提供单点登录服务肯Stineman,计算和IT高级主管说。
Egenera公司的PAN Manager使用虚拟化技术来简化管理职责,并帮助安全的多租户架构中,不同的客户共享相同的硬件。PAN Manager软件虚拟化在云中的虚拟机连接,存储在存储区域网络上,而不是单独的服务器上的所有服务器的特定和专用信息网络。因为没有专用信息位于服务器上,客户可以同时确保他们的应用程序,数据和网络流量从来没有接触,因此不会带来安全风险共享单个或多个平台工程的高级副总裁斯科特·耿说。
虚拟化也使得在部署之前更容易设置测试服务器,这反过来也使得在将服务器投入生产之前更容易测试安全性和性能,Backupify的Conway说。用于监控系统负载的工具(通常是开源的)也可以发现攻击,他补充道。
如果,例如,该工具检测由一个用户集群范围内的资源泄漏,这可能预示着分布式阻断服务攻击或其他一些企图破坏。
限制
还有就是,不幸的是,没有神奇的药丸 - 没有人日常的云管理技术,解决了所有组织的安全需求。对于一件事,就是一个组织需要完整和细粒度的安全的越少,它可以搭载的云管理工具。这是因为决定哪些应用程序可以在服务器上运行,甚至哪些用户可以访问该服务器,不控制用户可以或不能采取服务器上的具体行动。该级别基于角色的控制通常需要确保安全或完全遵守数据保护规定。
工具如Aveksa可以控制基于从身份信息库,如Active Directory信息,例如细粒度权利维克Viren Vaishnavi,Aveksa的总裁兼首席执行官说。
云管理供应商ScaleXtreme的联合创始人兼首席执行官Nand Mulchandani表示,传统管理工具的成本是另一个障碍。例如,一台虚拟机的成本可能是每小时9美分,而管理虚拟机的系统——比如BMC BladeLogic管理自动化套件——“每台服务器的成本是1500美元,”他说。
他说,如此高的成本迫使拥有数千台服务器的企业没有自动补丁、配置管理或审计遵从性,而是依赖脚本或手工流程。Schoenbeck反驳说,BMC的工具“使您能够获得对[云服务器]的控制,特别是在云服务器很容易获得的情况下”,以确保它们被适当地、安全和经济地使用。
IaaS供应商Savvis的安全和虚拟化技术副总裁Ken Owens说,即使是现在为云提供的供应管理工具也不能支持所有的云供应商。这就需要使用多个系统来管理私有云和公共云中的服务器,从而提高了成本和复杂性。Owens预计随着标准接口的发展,集成将在未来几年内变得更加容易。
许多基础设施管理工具由于将云管理,甚至只是虚拟化管理与其他IT管理隔离开来而失败,Mann说。“一个好的基础设施管理堆栈将通过与管理内部it相同的流程和能力来管理云。”
Mulchandani还警告说,一些内部服务器管理产品并不是为了在公共云上运行而设计的。他说,大多数为企业内部环境设计的补丁管理工具,都需要一个开放的入站端口来接受补丁更新,在一个拥有公共IP地址的公共云服务器上,“你永远不会疯狂到”允许这种情况发生。ScaleXtreme提供了一个使用单向出站HTTPS端口的补丁管理工具。
附加福利
旨在减少开支的良好云管理实践也可以提高安全性。以资产发现工具为例,它可以发现组织中有多少应用程序和其他系统正在使用,并将这些发现与账簿上的正式应用程序列表进行比较。这些实践——通常用于估计组织在云计算中需要多少容量——允许公司通过消除不需要的或重复的应用程序,并将一次性许可捆绑到批量购买协议中来削减成本。这些相同的工具还为安全管理员提供了他们必须保护的云应用程序和服务的更完整列表。
有时,方益流的其他方式 - 从安全工具等业务流程。虽然单一的主要利益点登录基因组健康,例如,是提高安全性,这也使得它更容易跟踪哪些员工采取了他们所需的在线培训,Stineman说。
他希望,真正的好处将是,当用户离开公司时,能够最终加快取消应用程序访问权限的进程,省去了现在证明员工曾经使用过应用程序所需要的三到四个小时适当地去除从所有公司的SaaS系统。
学习曲线
随着越来越多的组织将越来越多的应用程序转移到云上,许多观察家预测供应商将提供内部和云管理工具之间更好的集成,并提供高级服务,让客户更好地控制和查看他们的云环境。
使用管理工具来提高安全也可以提高IT经理的职业生涯,曼恩说,通过帮助他或她超越被视为一个内部服务供应商被当作“一个值得信赖的顾问与经验提供这些云服务业务,“把它已被证实的技能与管理安全的内部环境到云上。
“云计算工具:通过可见性和自动化提高安全性”这篇文章最初由方案 。