云安全与“可视性即服务”不可分离

　　欢迎各位阅读本篇文章，本篇文章讲述了云安全与“可视性即服务”不可分离，　“云安全(Cloud Security)”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念课课家教育平台提醒各位：本篇文章纯干货~因此大家一定要认真阅读本篇文章哦!

　　无论您是一名网络管理员、安全管理员还是首席信息官，您是否考虑过如果不能对大部分网络环境进行查看和管理将是一种怎样的场景?而如今，这就是各企业机构将应用程序和工作负载迁移到公有云后所面临的两难问题。由于提供商拥有公有云基础构架，所以各企业机构对于应用程序和网络数据的访问权限往往非常有限。

　　公有云必须按需处理超大规模部署、资源池和持续的配置更改，而这将给可视性、安全性和合规性带来独特挑战。今年2月份，Ixia对多家企业机构的220多名资深IT人员进行了云计算安全问题调查，其中，76%的受访者表示对云环境的安全性 “非常担心”或表示“担心”。采用云的首要安全问题是“无法控制网络数据”(56%)，以及无法获得整个公司网络的全面可视性(47%)。

　　传统的可视性架构存在局限性。它们无法提供确保云工作负载正常运行和安全性所需的敏捷性和洞察力。部署内部解决方案则取决于物理硬件、探针以及企业网络部署不太可能在一夜之间增减的事实。此外，虽然虚拟化部署能够以前所未有的速度推动改变，但物理服务器架构并没有实质变化。因此，尽管硬件通过虚拟探针和虚拟数据包中转设备转向了软件，而原可视性架构仍保留了下来。

　　被云端遮挡的可视性

　　向公有云迁移让一切都发生了变化。云端为我们实现的诸多优势——灵活性、敏捷性、弹性以及快速的水平和垂直扩展性对于洞察和监测公有云环境的性能和安全却造成了重重挑战。而工作负载行为缺乏独立的应用监测和分析，公有云提供商的环境性能监测工具不涵盖数据包数据，而这些数据对于网络可视性非常关键。

　　没有专门的工具探查提供商的数据中心，您的网络和安全团队将束手无策，无法诊断问题或快速修复针对关键业务应用的威胁和攻击。

　　如果使用不慎，直接采纳云数据将会很危险。分布式可视性架构可以充分发挥公有云的功能并提供服务器工作负载的全面可视性，但这种构架同样也带来了两大劣势：

　　捕获和过滤流量——在传统数据中心里，可以通过插入物理网络探针和网络数据包中转设备完全控制网域。但物理设备无法植入公有云，且只能控制有限网域。

　　保证输出适量数据的情况下扩大规模—— 公有云规模的扩大，将满足高峰需求。然而当扩展应用得以满足需求的同时，新的用例也随之产生。因此，您的云端网络可视性解决方案必须要充分适应这种可扩展性才能真正有效。

　　依赖于单一专用软件代理程序检测数据包的可视性解决方案可能会引发单点故障，且可扩展性有限。因此，无需让物理网络可视性技术适应云环境，云原生可视性架构才是真正所需。而且，此架构部署简单，IT团队不必进行复杂的配置和调整。因此，扩展式云可视性必须以“可视性即服务”(Visibility-as-a-Service)的方式实施。

　　洞悉云端

　　构建“可视性即服务”架构的首要步骤是创建一个编排层，并可通过基于“软件即服务”(Software-as-a-Service)的Web界面进行访问。理想情况下，它可以利用云原生服务提供商的数据库、身份管理、API和其他服务。这意味着企业不再需要安装或管理该产品的任何部分。它能实现类似云存储供应商为您的文件提供存储空间、管理和维护功能。

　　然后，编排层将连接到源实例的云端传感器，以及各种安全和监测工具的连接器。这些传感器和连接器的最高效和可扩展的部署方法就是将其置于容器内，如同各企业基于微服务的工作负载和工具一般嵌入用例中。由于直接嵌入用例，因此传感器可以在应用程序的源头过滤相关的可视性流量。

　　将传感器嵌入源用例不仅有效，还有另一个重要优势：可最大程度减少云间带宽量，由于只将相关数据传送给工具，这将显著节省成本。传感器可以将云端工作负载(如：数据库或Web)传送到编排层。利用该元数据，各企业机构可以将工具与各种工作负载类型关联起来，并创建包含传感器和相关工具的“组群”。由于特定服务的其他用例交错启动，这将立即创建其他传感器，然后再连接到安全和监控工具中的相关连接器。此外，由于这些额外的传感器在一个组群内联机，因此位于可扩展容器环境中的工具连接器也将自动扩展。这将实现真正的云原生弹性，而无需手动干预。

　　按需扩展传感器、连接器以及利用云原生服务的能力，对于可视性即服务至关重要，这将为基于OpEx的消费模型提供智能可视性，并与企业使用的其他可视性即服务协调一致。简单且可扩展的云可视性将改善安全性和合规性，同时保留公共云部署的成本优势。

　　企业云安全解决方案

　　1.内部私有云，奠定你的云计算基础

　　提升云安全的第一个方法：了解自己。企业需要对现有的内部私有云环境，以及企业为此云环境所构建的安全系统和程序有深刻的理解，并从中汲取经验。不要辩解说你的企业并没有建立私有云，事实上，不知不觉中，企业已经建立了内部云环境。在过去十年中，大中型企业都在设置云环境，虽然他们将其称之为"共享服务"而不是"云".这些"共享服务"包括验证服务、配置服务、数据库服务、企业数据中心等，这些服务一般都以相对标准化的硬件和操作系统平台为基础。[3]

　　2.风险评估，商业安全的重要保障

　　提升云安全的第二种方法：对各种需要IT支持的业务流程进行风险性和重要性的评估。你可能很容易计算出采用云环境所节约的成本，但是"风险/收益比"也同样不可忽视，你必须首先了解这个比例关系中的风险因素。云服务供应商无法为企业完成风险分析，因为这完全取决于业务流程所在的商业环境。对于成本较高的服务水平协议(SLA)应用，云计算无疑是首选方案。作为风险评估的一部分，还应考虑到潜在的监管影响，因为监管机构禁止某些数据和服务出现在企业、州或国家之外的地区。

　　3.不同云模型，精准支持不同业务

　　提升云安全的第三种方法：企业应了解不同的云模式(公共云、私有云与混合云)以及不同的云类型(SaaS，PaaS，IaaS)，因为它们之间的区别将对安全控制和安全责任产生直接影响。根据自身组织环境以及业务风险状况(见上第2条的分析)，所有企业都应具备针对云的相应观点或策略。

　　4.SOA体系结构，云环境的早期体验

　　提升云安全的第四个方法：将SOA(面向服务的架构)设计和安全原则应用于云环境。多数企业在几年前就已将SOA原则运用于应用开发流程。其实，云环境不就是SOA的大规模扩展吗?面向服务的架构的下一个逻辑发展阶段就是云环境。企业可将SOA高度分散的安全执行原则与集中式安全政策管理和决策制定相结合，并直接运用于云环境。在将重心由SOA转向云环境时，企业无需重新制定这些安全策略，只需将原有策略转移到云环境即可。

　　5.双重角色转换，填补云计算生态链

　　提升云安全的第五个方法：从云服务供应商的角度考虑问题。多数企业刚开始都会把自己看作云服务用户，但是不要忘记，你的企业组织也是价值链的组成部分，你也需要向客户和合作伙伴提供服务。如果你能够实现风险与收益的平衡，从而实现云服务的利益最大化，那么你也可以遵循这种思路，适应自己在这个生态系统中的云服务供应商的角色。这样做也能够帮助企业更好地了解云服务供应商的工作流程。

　　6.网络安全标准，设置自身"防火墙"

　　提升云安全的第六个方法：熟悉企业自身，并启用网络安全标准-长期以来，网络安全产业一直致力于实现跨域系统的安全和高效管理，已经制定了多项行之有效的安全标准，并已将其用于、或即将用于保障云服务的安全。为了在云环境世界里高效工作，企业必须采用这些标准，它们包括：SAML(安全断言标记语言)，SPML(服务配置标记语言)，XACML(可扩展访问控制标记语言)和WS-Security(网络服务安全)。

　　小结：“云”记录和分享的安全信息也就越多，整体的用户也就越强大。这才是网络的真谛，也是所谓“云安全”的精华之所在。当然如果大家还想了解更多方面的详细内容的话呢，不妨关注课课家教育平台，在这里你肯定会有意想不到的收获的!