混合云安全性是對與IT架構關聯的數據，應用程序和基礎架構的保護，該架構在多個IT環(huán)境(包括至少一個公共或私有云)中整合了一定程度的工作負載可移植性，編排和管理 。

混合云提供了減少數據潛在暴露的機會。您可以將敏感或關鍵數據保留在公共云之外，同時仍可以利用云來獲取與之沒有相同風險的數據。

為什么選擇混合云以增強安全性?

混合云使企業(yè)可以根據合規(guī)性，審計，策略或安全性要求選擇將工作負載和數據放置在何處。

雖然組成混合云的各種環(huán)境保持唯一且獨立的實體，但它們之間的遷移是通過有助于傳輸資源和工作負載的容器或加密的應用程序編程接口(API)來實現的。這種獨立的，但仍相互連接的體系結構使企業(yè)可以在私有云中運行關鍵工作負載，在公共云中運行不太敏感的工作負載。這種安排可以很大程度地減少數據泄露，并允許企業(yè)自定義靈活的IT產品組合。

混合云安全性面臨哪些挑戰(zhàn)?

保護您的數據

通過加密限制組織的數據公開。相同的數據將在途中或在不同的時間處于靜止狀態(tài)。您需要各種安全性來限制這兩種狀態(tài)下的數據公開。

合規(guī)與治理

如果您在醫(yī)療，金融或政府等高度管制的部門工作，則混合云基礎架構可能會帶來其他注意事項。知道如何檢查分布式環(huán)境以確保它們符合要求;如何實施自定義或監(jiān)管安全基準;以及如何準備安全審核。

供應鏈中的安全

混合云環(huán)境通常包括來自復雜生態(tài)系統中多家供應商的產品和軟件。了解您的供應商如何測試和管理他們的軟件和產品。了解供應商何時，如何檢查源代碼，遵循方式以及遵循哪些實施準則，以及供應商如何以及何時提供更新和補丁。

混合云安全性的組成部分

與一般的計算機安全性一樣，混合云安全性由三個組件組成：物理，技術和管理。

物理控件用于保護您的實際硬件。示例包括鎖，防護裝置和安全攝像機。

技術控制是IT系統本身設計的保護措施，例如加密，網絡身份驗證和管理軟件?；旌显频脑S多比較強大的安全工具是技術控件。

最后，行政控制是旨在幫助人們以增強安全性的方式行動的程序，例如培訓和災難規(guī)劃。

混合云安全性的物理控制

混合云可以跨越多個位置，這使物理安全成為一個特殊的挑戰(zhàn)。您無法在所有機器周圍建立邊界并鎖上門。

對于公共云之類的共享資源，您可能與您的云提供商簽訂了服務水平協議(SLA)，用于定義將要滿足的物理安全標準。例如，一些公共云提供商與政府客戶進行了安排，以限制哪些人員可以訪問物理硬件。

但是，即使有了良好的SLA，您在依靠公共云提供商時也會放棄一定程度的控制。這意味著其他安全控制變得更加重要。

混合云安全性的技術控制

技術控制是混合云安全性的核心?；旌显频募泄芾硎辜夹g控制更易于實施。

混合云工具箱中一些比較強大的技術控件是加密，自動化，編排，訪問控制和端點安全性。

加密

加密極大地降低了即使物理計算機受到威脅也暴露任何可讀數據的風險。

您可以加密靜態(tài)數據和動態(tài)數據。就是這樣：

保護您的靜態(tài)數據：

全盤(分區(qū)加密)可在計算機關閉時保護您的數據。嘗試使用Linux磁盤上統一密鑰設置(LUSK)格式，該格式可以批量加密硬盤驅動器分區(qū)。

硬件加密將保護硬盤驅動器免受未經授權的訪問。嘗試使用可信平臺模塊(TPM)，這是一種存儲加密密鑰的硬件芯片。啟用TPM后，硬盤驅動器將被鎖定，直到用戶可以驗證其登錄名。

無需手動輸入密碼即可加密根卷。如果您構建了高度自動化的云環(huán)境，請在此基礎上進行自動加密。如果您使用的是Linux，請嘗試在物理和虛擬機上均可使用的網絡綁定磁盤加密(NBDE)。獎勵：使TPM成為NBDE的一部分，并提供兩層安全性(NMDE將幫助保護網絡環(huán)境，而TPM將在本地工作)。

保護動態(tài)數據：

加密您的網絡會話。運動中的數據被截取和更改的風險要高得多。請嘗試Internet協議安全性(IPsec)，它是使用加密技術的Internet協議的擴展。

選擇已經實現安全標準的產品。尋找支持聯邦信息處理標準(FIPS)出版物140-2的產品，該出版物使用加密模塊來保護高風險數據。

自動化

要了解為什么自動化自然適用于混合云，請考慮手動監(jiān)視和修補的缺點。

手動監(jiān)視安全性和合規(guī)性通常帶來的風險大于回報。手動補丁和配置管理存在異步實施的風險。這也使實施自助服務系統更加困難。如果存在安全漏洞，則手動修補程序和配置的記錄可能會丟失，并可能導致團隊爭斗和指責。此外，手動過程往往更容易出錯，并且花費更多時間。

相比之下，自動化使您能夠領先于風險，而不是對風險做出反應。自動化使您能夠設置規(guī)則，共享和驗證流程，最終使通過安全審核更加容易。在評估混合云環(huán)境時，請考慮自動化以下過程：

監(jiān)視您的環(huán)境。

檢查合規(guī)性。

實施補丁。

實施自定義或監(jiān)管安全基準。

編排

云編排更進一步。您可以將自動化定義為特定的成分，將業(yè)務流程視為將這些成分整合在一起的食譜食譜。

通過編排，可以將云資源及其軟件組件作為一個整體進行管理，然后通過模板以自動化，可重復的方式部署它們。

編排對安全性的比較大的好處是標準化。您可以提供云的靈活性，同時仍可確保部署的系統符合安全性和合規(guī)性標準。

訪問控制

混合云還取決于訪問控制。將用戶帳戶限制為僅他們需要的特權，并考慮要求兩因素身份驗證。限制對連接到虛擬專用網絡(VPN)的用戶的訪問也可以幫助您維護安全標準。

端點安全

端點安全性通常意味著如果用戶的智能手機，平板電腦或計算機丟失，被盜或被黑客入侵，則使用軟件來遠程撤消訪問或擦除敏感數據。

用戶可以從任何地方使用個人設備連接到混合云，從而使端點安全成為必不可少的控制。攻擊者可能利用針對個人用戶的網絡釣魚攻擊和危害個人設備的惡意軟件來針對您的系統。

我們在此處將其列為技術控制，但是端點安全性結合了物理，技術和管理控制：保持物理設備的安全，使用技術控制來限制設備落入不當時手的風險，并培訓用戶良好的安全實踐。

混合云安全性的管理控制

最后，實施混合云安全性高的管理控制以解決人為因素。由于混合云環(huán)境是高度連接的，因此安全是每個用戶的責任。

災難準備和恢復是管理控制的一個例子。如果您的混合云的一部分被關閉，那么誰負責什么動作呢?您是否有用于數據恢復的協議?

混合體系結構為管理安全性提供了顯著的優(yōu)勢。由于您的資源可能會分布在現場和非現場硬件之間，因此您可以選擇進行備份和冗余。在涉及公共云和私有云的混合云中，如果私有數據中心云上的系統發(fā)生故障，則可以故障轉移到公共云。

它的安全性不會一次全部發(fā)生

IT安全需要時間，并且需要迭代。安全形勢總是在變化。與其給自己施加壓力，以使其達到完美的安全狀態(tài)(不存在)，不如將一只腳放在另一只腳上，并采取合理的，經過深思熟慮的動作，以使您今天比以前更安全。