多云环境下安全面对的概念性及技术性挑战
发布时间:2022-05-20 09:52:37 所属栏目:安全 来源:互联网
导读:采用多云战略的原因各不相同:可能是想在另一个云平台上创建灾难恢复(DR),或者按最适宜的云服务来平衡工作负载,也可能是公司并购的产物。无论多云环境是如何引入的,保护多云平台的安全始终是摆在公司企业面前的一大挑战。 1. 不同供应商引入不同账户模式
|
采用多云战略的原因各不相同:可能是想在另一个云平台上创建灾难恢复(DR),或者按最适宜的云服务来平衡工作负载,也可能是公司并购的产物。无论多云环境是如何引入的,保护多云平台的安全始终是摆在公司企业面前的一大挑战。 1. 不同供应商引入不同账户模式 AWS模式基于云账户,可以将账户分配给某个公司,让用户来指定的计费和策略继承。 虽然这些不同的概念相互关联,但还是存在可以影响到安全的细微差别。要理解资源层级,就需知道该应用哪种安全模型。 2. 控制不同平台上的安全组 IT工程师积累了数十年的私有网络经验。但虽然实体域控制器(DC)中他们控制从电缆到应用的一切东西,在云环境下,却是亚马逊、微软和谷歌控制着物理层,并创建了运行在虚拟网络上的不同服务。云解决方案使用的路由模型不同于DC所用的,不同云解决方案使用的模型也各不相同。DC的网络防火墙嵌入到基础设施即安全组(SG)里,而SG之间各有不同。 AWS SG 包含入站和出站流量规则,都是些“允许”规则,作为白名单起到流量放行作用。用户可以将多个SG接入每个弹性计算云(EC2)实例(实际上是弹性网络接口(ENI)),每个安全组的规则被有效聚合,创建出一整套规则。SG可被应用到不同实体,包括实例或负载平衡器之类的托管服务。 Azure网络安全组(NSG)和谷歌弹性计算云(GCP) SG 提供的体验更近似经典防火墙,拥有允许和禁止两张规则列表。规则的顺序很重要:高优先级规则控制着流量是允许还是禁止的决策权。Azure只允许一台虚拟机有一个NSG,而NSG也可应用到连接虚拟机的子网或网络接口(NIC)上。GCP安全组基于标签,允许将规则附加到虚拟机之类资产上。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐