IT专业人士需要掌握的多云环境安全知识

大多数企业的IT人员都选择跨多个云和内部部署来分配工作负载。根据企业战略集团的研究，75％的公共云基础设施客户会使用多个云服务news.webhostingtalk.cn提供商。虽然使用多云方法有一系列好处，但其在安全性方面也可能面临重大挑战。

HashiCorp联合创始人兼CTO Armon Dadgar在接受ITPro采访时表示，多云世界的安全性与防卫型虚拟机的安全性有很大的不同。

他说：“我们建议企业采用与传统方法不一样的新方法来保证在多云环境中的网络安全性。比如在传统的虚拟机世界中，保护网络安全的方法就是我们所说的建造“城堡和护城河”。您已经打造好了数据中心的四面城墙，只有一个入口或出口点，而那就是要堆栈所有安全中间件的地方。“

这种传统方法需要假设内部网络是一个高度信任的环境，因此只要在数据中心的四面墙内，一切都是安全的。 Dadgar说：“这种假设是有问题的。” 因为事实上数据中心大多都直接用明文存储客户数据，并且“数据库证书也被到处滥用”。

当然，IT专业人士再也无法假设内部网络是安全的环境，尤其在多云环境下，他们必须采取新的方法来确保其网络的安全。

因为通过云连接器，API会为黑客创造更多的接入点。

他说：“现在很多企业都不再只使用一个数据中心和云。它们可能跨越多个云，并且在每个云中都有多个区域，不同的云都通过一系列复杂的VPN隧道连接，多个数据中心通过光纤线路连接在一起，然后回接到公司的总部和VPN。这是一个复杂的网络拓扑，其中的流量可以来自各个数据中心和云的任何区域。”

Dadgar是HashiCorp公司的创始人之一，该公司于2012年成立，旨在革新数据中心的管理方式。根据其网站上显示，其开放资源的数据中心管理工具包括管理物理机器和虚拟机，Windows和Linux，SaaS和IaaS 的工具。 “ Vault”也是这些工具之一，其作用就是“保护，存储和严格控制访问令牌，密码，证书，API密钥和现代计算中的其他要素”。

Dadgar认为Vault是安全专家用来代替中间件的新工具之一，但在多云环境中需要改变的不仅仅只是技术而已。

“安全从业人员正试图寻找方法来增强在多云环境中的网络安全”，而安全专业人士也已经改变了之前的网络安全管理方式，因为他们需要与开发商和运营商密切合作。

他说：“安全人员逐渐加强了对应用程序交付过程的管控，重新设置其使用的工具，并将强化其服务提供者的身份，而不是仅仅只在幕后进行操作。安全问题不容忽视，开发商和运营商必须意识到网络安全的重要性，并且有必要重新更换其使用工具。”

他说，这些管理方法的变化包括确保数据在存储和运输过程中经过了加密，并采取安全的方式对其进行秘密管理。

Dadgar说：“在之前的系统中，由于您必须手动架设和堆栈服务器以及移动电缆，您就能很容易察觉出任何错误的发生，以便及时弥补错误保护网络安全。但是如今在云端，一切操作都在API上完成，因此即使您犯了错误也很难立即察觉。比如，如果我稍微更改了设备的配置，由于这种小操作很容易绕过防火墙的监控，因此就很难被察觉。”

类似这种情况的例子包括最近发生的OneLogin应用程序安全漏洞。OneLogin的客户数据遭到破坏，黑客甚至能够解密经过加密的数据。位于旧金山的OneLogin 是一家基于云的应用程序提供商，提供a单点登录和身份管理服务，其负责人表示：“会发生安全漏洞是因为黑客获得了一组AWS密钥的访问权限，并使用它们从另一个小型服务提供商的中间主机访问AWS API“。

OneLogin在博客的事后分析中写道：“通过AWS API，黑客在我们的基础架构中创建了几个实例来进行侦察。 OneLogin的工作人员在PST上午9点左右收到了数据库活动异常的警告，并在几分钟内关闭了受影响的实例以及用于创建它的AWS密钥。”

增强安全常识，多云环境仍然需要受到企业政策的管制

CloudRanger是一家位于爱尔兰的SaaS服务器管理提供商。David Gildea在IT行业工作了17年，是CloudRanger的创始人和首席执行官。他表示，企业通常不知道他们必须要对云服务供应商采取与其数据中心和内部IT部门相同的预防措施，其中部分原因是企业确信与他们合作的供应商已经有足够能力来保证网络的安全。

但是他发现，当企业使用云服务时，并没有制定合适的政策来管理云服务，那么随着多云环境中的工作负载越来越多，问题就会一直得不到解决。

他说：“当您将概念实验转化为生产应用程序时，就没有为应用程序的使用制定标准或政策。因此您在一开始使用云服务时就没有打下良好的基础，而这种不良隐患将会传播到其他的云端。”

Gildea说，企业在多云环境中除了缺乏安全政策外，还缺乏测试。

“许多企业都没有对其网络进行过安全测试; 以业务连续性为例，每家企业都以某种形式对其数据进行了备份，但是却没有对可能的网络安全漏洞进行过测试。这都是因为企业错误地认为云可以帮助企业完成所有的事情。”