技术控制是混合云安全防护的核心。混合云的集中化管理更易于实现技术控制。
在混合云工具箱中,最强大的几项技术控制包括加密、自动化、编排、访问控制和端点安全防护。
加密
加密大大降低了任何可读数据泄露的风险,即便物理计算机受到入侵,也能避免信息的进一步泄露。
加密分为静态加密和动态加密两种,二者的区别在于:
保护您的静态数据:
全盘加密(分区加密)可在计算机关闭时继续保护您的数据。建议使用 Linux Unified Key Setup-on-disk(LUSK) 格式,该格式可批量加密您的硬盘分区。
硬件加密,可保护硬盘免遭未经授权的访问。推荐使用可信平台模块(TPM),它是可存储加密密钥的硬件芯片。启用 TPM 时,硬盘处于锁定状态,用户对登录帐号进行身份验证后方可解锁。
无需手动输入密码即可加密根卷。如果您已经构建了高度自动化的云环境,则可使用自动加密加强其安全防护。如果您使用的是 Linux,则可尝试采用网络绑定磁盘加密(NBDE),物理机和虚拟机均可使用。它还有一点额外好处:把 TPM 纳入 NBDE 之后,您将享受两层安全防护(NMDE 可保护联网环境,而 TPM 则能保护本地环境)。
保护您的动态数据:
加密网络会话。动态数据面临拦截和更改的风险要大得多。尝试使用互联网安全协议(IPsec),这是使用加密技术的互联网协议的扩展。
选择已实施安全标准的产品。查找支持使用加密模块保护高风险数据的美国联邦信息处理标准(FIPS)140-2 的产品。
自动化
自动化非常适合混合云,想知道为什么,只需想一下手动监控和修补的缺点。
手动监控安全性和合规性的风险通常比回报大得多。手动补丁和配置管理往往不能同步实现,埋下安全隐患。它还为实施自助服务系统增加了更多困难。如果存在安全漏洞,手动补丁和配置记录就有丢失的风险,从而可能导致团队内斗、相互指责。此外,手动流程往往更容易出错,耗费时间更长。
相比之下,自动化可以让您在风险面前赢得先机,不用再被动防守。通过自动化,您能设定规则,共享和验证流程,使其更轻松地通过安全审计。在评估混合云环境时,请考虑自动执行以下流程:
监控您的环境
管理您的数据
检查合规性
实施补丁
实施自定义或监管安全基线
编排
云编排将技术控制又向前推进了一步。您可以将自动化看作特定的食材,而编排就是将食材组合在一起的食谱。
借助编排,我们可以将云资源及其软件组件作为一个整体加以管理,然后通过模板以自动化、可重复的方式进行部署。
对安全防护而言,编排的最大好处是标准化。您可以提供云的灵活性,同时确保部署的系统符合您的安全与合规标准。
访问控制
混合云还离不开访问控制。我们应根据实际需要限定用户帐户的权限,并考虑实施双重身份验证。此外,对连接至虚拟专用网络(VPN)的用户进行访问限制也有助于维护安全防护标准。
端点安全防护
有了端点安全防护,如果用户的智能手机、平板电脑或计算机丢失、被盗或被攻击,则可以使用软件远程撤销访问权限或擦除敏感数据。
用户可以从任何地方使用个人设备连接到混合云,这使得端点安全防护成为一项必不可少的控制措施。攻击者可能会利用针对单个用户的网络钓鱼攻击以及恶意软件对您的系统发动攻击。
虽然我们在这里把其列为了技术控制,但端点安全防护其实集物理、技术和管理控制于一身:保持物理设备的安全,使用技术控制来防范设备落入坏人之手的风险,并向用户传授良好的安全防护实践。