何時(shí)使用和不使用云原生安全工具

雖然主要云計(jì)算供應(yīng)商提供的安全工具很方便，但這對(duì)一些用戶來說并不意味著總是正確的選擇。因此需要了解如何決定何時(shí)應(yīng)選擇使用第三方安全工具。

隨著網(wǎng)絡(luò)攻擊的增加，對(duì)于大多數(shù)組織來說，云安全成為頭等大事也就不足為奇了。但是，組織的IT團(tuán)隊(duì)通常很難選擇正確的策略，因?yàn)橛泻芏喙ぞ吆头?wù)可以幫助保護(hù)其環(huán)境。

主要有兩種可用于保護(hù)云計(jì)算工作負(fù)載的服務(wù)：云計(jì)算供應(yīng)商提供的云原生安全工具，以及來自其他公司的第三方安全工具或者在某些情況下提供的開放源代碼項(xiàng)目。

但是哪種類型的云安全工具是最好的?其答案很大程度上取決于特定的云計(jì)算架構(gòu)以及組織的安全需求的性質(zhì)。

云原生安全工具

大多數(shù)公共云提供商都提供幾種類型的云原生安全工具，每種工具都旨在滿足不同的安全需求。但是由用戶自行決定是否可以滿足其特定的安全要求。

在組織確定云原生安全工具是否適合其工作負(fù)載之前，需要探索可從AWS、谷歌云平臺(tái)和微軟Azure獲得的不同類型的安全產(chǎn)品。每個(gè)供應(yīng)商提供每種工具的功能或多或少是等效的，盡管并非總是在它們之間進(jìn)行一對(duì)一的比較。

身份和訪問管理

所有公共云都提供身份和訪問管理(IAM)框架。云計(jì)算管理員可以使用這些框架來配置哪些用戶或服務(wù)可以訪問不同的基于云計(jì)算的工作負(fù)載或資源。

這些類型的供應(yīng)商工具還提供補(bǔ)充服務(wù)，用于實(shí)施雙因素身份驗(yàn)證、將基于云計(jì)算的訪問管理(IAM)框架與目錄服務(wù)集成，以及管理與身份驗(yàn)證和授權(quán)相關(guān)的其他常見任務(wù)。

審計(jì)與監(jiān)控

諸如Amazon Inspector和Microsoft Azure安全中心之類的云原生安全工具會(huì)自動(dòng)檢查常見類型的云計(jì)算工作負(fù)載的配置，并在檢測(cè)到潛在的安全問題時(shí)生成警報(bào)。谷歌云數(shù)據(jù)丟失預(yù)防和Amazon Macie通過自動(dòng)檢測(cè)未得到適當(dāng)保護(hù)的敏感信息并向用戶發(fā)出警報(bào)，為數(shù)據(jù)提供了類似的功能。

為了進(jìn)一步保護(hù)數(shù)據(jù)，有一些工具(例如Amazon GuardDuty和Azure Advanced Threat Protection)可以監(jiān)視可能預(yù)示基于云計(jì)算的環(huán)境和內(nèi)部部署環(huán)境中安全問題的事件。

防火墻和防止DDoS攻擊

IT團(tuán)隊(duì)使用Google Cloud Armor、AWS網(wǎng)絡(luò)應(yīng)用防火墻和Azure防火墻等服務(wù)來配置防火墻，以控制對(duì)云平臺(tái)中運(yùn)行的應(yīng)用程序的網(wǎng)絡(luò)訪問。相關(guān)工具可緩解針對(duì)基于云計(jì)算資源的DDoS攻擊。

加密

可以使用Amazon S3和Azure Blob Storage等存儲(chǔ)服務(wù)中內(nèi)置的原生功能對(duì)主要公共云上存儲(chǔ)的數(shù)據(jù)進(jìn)行選擇性加密(在默認(rèn)情況下會(huì)自動(dòng)加密)。公共云供應(yīng)商還提供基于云的密鑰管理服務(wù)，例如Azure Key Vault和谷歌關(guān)鍵管理服務(wù)(Google Key Management Service)，以安全地跟蹤加密密鑰。

安全運(yùn)營(yíng)中心

最后，為幫助云計(jì)算管理員集中管理所有安全工具及其相關(guān)數(shù)據(jù)，云計(jì)算供應(yīng)商還提供了與安全運(yùn)營(yíng)中心差不多的服務(wù)。全球三個(gè)主要的云計(jì)算提供商提供了Azure安全中心、AWS安全中心和谷歌云平臺(tái)的安全運(yùn)營(yíng)中心，以幫助用戶管理其安全工具。

第三方云安全工具

盡管某些組織將默認(rèn)使用其云計(jì)算提供商的原生安全工具，但還有其他選擇。實(shí)際上，許多第三方工具可以實(shí)現(xiàn)上述相同的功能。

例如，如果要監(jiān)視云計(jì)算基礎(chǔ)設(shè)施中的安全事件，則可以使用商業(yè)服務(wù)，例如Splunk、IBM QRadar或LogRhythm，它們也提供安全運(yùn)營(yíng)中心的許多功能。

組織可以使用VeraCrypt或AxCrypt等開源工具對(duì)存儲(chǔ)在云中的數(shù)據(jù)進(jìn)行加密。諸如Cloudflare和Akamai之類的第三方防火墻服務(wù)可以保護(hù)云計(jì)算應(yīng)用程序免受網(wǎng)絡(luò)攻擊者的威脅。

這就引出了一個(gè)問題：是使用云計(jì)算供應(yīng)商的安全工具還是選擇第三方產(chǎn)品?確定好方法時(shí)需要權(quán)衡三個(gè)因素。

組織的原生安全需求是什么?

盡管組織可以使用某些云原生安全服務(wù)(例如Amazon GuardDuty和Azure Advanced Threat Protection)來管理內(nèi)部部署設(shè)施和基于云計(jì)算基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)，但其他服務(wù)僅在云平臺(tái)中工作。例如，不能使用基于云計(jì)算的數(shù)據(jù)安全服務(wù)的原生加密功能來加密內(nèi)部部署的數(shù)據(jù)。

另一個(gè)例子是，基于云計(jì)算的防火墻服務(wù)可能被用來保護(hù)內(nèi)部部署應(yīng)用程序，但前提是要建立一個(gè)相對(duì)復(fù)雜和昂貴的架構(gòu)，將這些應(yīng)用程序與云計(jì)算防火墻服務(wù)集成在一起。

因此，組織最好在企業(yè)內(nèi)部和公共云中廣泛使用第三方選項(xiàng)。在這種情況下，公共云原生安全工具是不夠的，因?yàn)榈谌教峁┥淘诒Ｗo(hù)基于云計(jì)算的資源和內(nèi)部部署資源方面提供了更多的平等性。

是采用多云的組織嗎?

同樣，采用多云策略的組織可能應(yīng)該選擇第三方安全工具。云計(jì)算供應(yīng)商提供的原生安全產(chǎn)品通常不能與競(jìng)爭(zhēng)性公共云上的產(chǎn)品一起使用。

在某些情況下，有可能構(gòu)建復(fù)雜的人工集成，這將使IT團(tuán)隊(duì)能夠?qū)⒁粋€(gè)云平臺(tái)中與安全相關(guān)的數(shù)據(jù)提取到另一云平臺(tái)中的安全監(jiān)視工具中。但這更加麻煩。取而代之的是，選擇同時(shí)與多個(gè)云供應(yīng)商的數(shù)據(jù)或服務(wù)集成的第三方工具。

組織的云計(jì)算安全需求將如何擴(kuò)展和發(fā)展?

組織還需要考慮其云計(jì)算安全需求的范圍以及隨著時(shí)間的推移將會(huì)如何增長(zhǎng)。

如果組織只有少量工作負(fù)載在云平臺(tái)中運(yùn)行，并且暫時(shí)不希望這種情況發(fā)生變化，那么僅靠云計(jì)算供應(yīng)商的安全工具來保護(hù)它們是可行的。在大多數(shù)情況下，這種方法設(shè)置的速度更快，因?yàn)榘踩ぞ吲c組織的云原生服務(wù)集成在一起。

但是，如果組織希望其云計(jì)算足跡穩(wěn)定增長(zhǎng)，或者需要靈活性以遷移到其他云平臺(tái)或?qū)⒐ぷ髫?fù)載遷移回內(nèi)部部署設(shè)施，則第三方安全服務(wù)將提供更大的靈活性。

名稱欄目：何時(shí)使用和不使用云原生安全工具
文章分享：http://www.muchs.cn/news35/202735.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、外貿(mào)建站、自適應(yīng)網(wǎng)站、App設(shè)計(jì)、軟件開發(fā)、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)