為什么原生云控制不足以實(shí)現有意義的微分割？

精確制定的微分割策略可防范未經(jīng)授權通信的應用程序，并在此過(guò)程中提醒運營(yíng)人員潛在的威脅。

數據和工作負載向云的移動(dòng)更像是一次倉促的沖刺。在尋求競爭優(yōu)勢的過(guò)程中，企業(yè)顯然渴望利用提供給他們的敏捷性和靈活性，以至于安全常常是事后的想法。但是，云計算提供商不關(guān)心這個(gè)嗎？有些公司驚訝地聽(tīng)到答案是否定的，至少不完全是這樣。

云計算和基礎設施即服務(wù)（IaaS）提供商采用共享安全模式運行。當與客戶(hù)和潛在客戶(hù)交談時(shí)，發(fā)現即使是大型和復雜的公司也很難將他們的想法包裝在這個(gè)概念的周?chē)?。安全是提供者和用?hù)之間的共同責任，在大多數情況下，其責任相當明確。

例如，區分“云端（公共云提供商）”的安全性（提供者的責任）和“云中（客戶(hù)）”的安全性。通常，供應商負責保護云計算基礎設施的安全，其中包括硬件、軟件、網(wǎng)絡(luò )和物理設施。用戶(hù)負責保護他們自己的操作系統、應用程序和數據。

這里有些東西會(huì )變得模糊不清：云計算提供商可能會(huì )提供保護自己資產(chǎn)的工具，但是如果用戶(hù)選擇使用這些工具，則需要負責配置和管理它們，而不是提供商負責?？偟膩?lái)說(shuō)，云計算用戶(hù)需要積極主動(dòng)地認真了解提供商的安全能力，然后弄清楚他們需要做些什么來(lái)支持共享安全協(xié)議的結束。

微分割面臨的挑戰

現代越來(lái)越多地是內部部署，私有云和公共云環(huán)境的混合體，其中包含一系列物理服務(wù)器、虛擬機和容器。這對安全團隊構成了一個(gè)復雜的挑戰：如何在多種環(huán)境中提供應用程序和工作負載，以及在各種安全標準和功能不同的提供商之間移動(dòng)。

目前，云計算安全的主要驅動(dòng)力是合規性。在審計人員的推動(dòng)下，安全團隊正在積極探索微分割市場(chǎng)，作為滿(mǎn)足合規要求的最佳實(shí)踐。但是許多組織認為這是實(shí)施的一個(gè)挑戰。主要的障礙是缺乏對數據中心資產(chǎn)、工作流程和流程的可見(jiàn)性，即使在單一的云環(huán)境中也是如此。

如果沒(méi)有可見(jiàn)性，很難在微觀(guān)層面上建立安全策略，如果不是不可能的話(huà)。更復雜的是，人們談?wù)摰拇蠖鄶倒径际腔诘墓ぷ髫撦d，這些工作負載可以在多個(gè)異構的本地部署和云環(huán)境中遷移。

原生云控制功能不足

云計算和IaaS提供商經(jīng)常提供特定于個(gè)人的環(huán)境工具來(lái)設置安全組的安全策略。但是，這些工具并不適合在當今動(dòng)態(tài)數據中心實(shí)現大規模微分割。這些并不能解決可見(jiàn)性問(wèn)題，讓用戶(hù)嘗試識別他們的資產(chǎn)用于分組目的。他們傾向于將重點(diǎn)放在OSI模型中的第4層傳輸層上，而入侵者真正駐留在第7層應用層中的應用程序。原生控制還缺乏動(dòng)態(tài)策略設置或標記功能，這意味著(zhù)隨著(zhù)工作負載自動(dòng)向上或向下擴展、更新或修改安全策略的能力也成為將工作負載移至云的關(guān)鍵原因之一。

在多云數據中心中，每個(gè)提供商通常專(zhuān)注于在自己的環(huán)境中解決問(wèn)題。使用一個(gè)提供商工具創(chuàng )建的策略在遷移到不同環(huán)境時(shí)將無(wú)法執行工作負載，將責任推給用戶(hù)以管理多個(gè)策略解決方案。云計算提供商工具也缺乏設置策略以滿(mǎn)足特定合規性要求的靈活性。

精確制定的微分割策略可防范未經(jīng)授權通信的應用程序，并在此過(guò)程中提醒操作人員潛在的威脅。云計算提供商提供的大多數工具都缺乏這種威脅檢測方面。

了解云計算客戶(hù)負責保護他們自己的資產(chǎn)并管理用于保護他們的工具，他們必須超越云計算提供商提供的工具，并將問(wèn)題交由自己處理。

做這件事需要做什么？

企業(yè)用戶(hù)必須清楚地了解云計算提供商的安全措施的完美程度，并確定他們需要覆蓋的內容。這需要了解供應商的安全控制和對環(huán)境的持續監控，以確保供應商保持其交易的結束。

為了在混合基礎設施中有效地實(shí)現微分割，安全團隊需要深入了解應用程序和進(jìn)程、它們之間的關(guān)系以及它們的編排數據。此可見(jiàn)性必須擴展到第7層進(jìn)程來(lái)處理級別，以便發(fā)現和識別將微程序分組的應用程序。

為簡(jiǎn)化實(shí)施和持續管理，安全管理員需要一個(gè)獨立于平臺的策略創(chuàng )建和控制機制，可在多個(gè)融合云環(huán)境中運行，并隨時(shí)隨地處理工作負載。他們還需要一個(gè)靈活的策略引擎，允許持續更新和完善策略，并在工作負載自動(dòng)擴展和縮減時(shí)動(dòng)態(tài)標記。

用戶(hù)應該能夠靈活地設置與高度具體的合規性要求相關(guān)的策略。他們還應該靈活部署，以利用本地云分發(fā)方法。最后，他們應該能夠檢測潛伏在數據中心內部的威脅。

云計算的商業(yè)利益非常明確。但沒(méi)有足夠的安全性，它們就會(huì )失去。通過(guò)獲取在混合基礎設施中有效實(shí)施微分割的知識和工具，IT安全團隊可以成為企業(yè)充分利用云計算來(lái)推動(dòng)戰略并實(shí)現目標的英雄。