過去,數據中心主要由部署在本地的物理設備組成。現代數據中心是一個混合體,將本地系統與分布在多個公共云和私有云上的基于云的基礎設施相結合。這些混合數據中心包括平臺之間的編排,允許在本地和基于云的基礎架構之間共享應用程序和數據。遵循數據中心安全最佳實踐計劃將確保其運營、應用程序和數據免受威脅。
混合數據中心安全最佳實踐
雖然數據中心安全是物理安全和網絡安全的混合體,但我們在這里關注數據中心安全的網絡安全方面。有關數據中心物理安全的更多信息,請查看我們的數據中心認證頁面。
混合數據中心需要在本地和云環境中一致應用和實施的安全性。業務發展的快速步伐還要求解決方案與公司一起擴展并與業務目標保持一致。有效的混合數據中心安全提供跨環境的深度可見性和零信任安全原則的實施。保護混合數據中心需要遵循幾個安全最佳實踐。
1、識別和控制數據
在過渡到即服務模型時,組織正在放棄對其基礎架構某些部分的控制。云提供商可以控制平臺、操作系統、系統等,并且不提供對這些資源的可見性或訪問權。在為云設計安全性時,一切都與數據有關。組織需要制定策略,以在云服務提供商的限制范圍內保持對其數據的控制。
在您開始評估階段時,請確保制定計劃以保持對數據的控制。在本地,這意味著在計劃中設計冗余。制定有彈性的冗余系統和備份或災難恢復計劃。對于云提供商來說,這意味著審查他們的 SLA,以確保他們在可用性 (99.9999x) 和訪問方面擁有客戶的期望。
2、對敏感數據進行分類
遷移到云時,組織需要知道哪些數據是敏感數據。這有助于設計對這些數據的保護,并確保其受到適用法規的保護。所有數據都應根據其敏感性、數據類型以及擁有該數據的業務部門進行標記。該標簽為法規遵從性政策提供信息,并確保對某些業務部門重要的數據符合可訪問性和可用性 SLA。
3、映射數據流
在混合數據中心中,數據將定期在本地和云環境之間流動。保護這些數據需要深入了解這些數據流,以便允許合法數據流并阻止可疑或惡意數據流。在映射數據流時,在映射中包含用戶、網絡、系統和應用程序非常重要。這在實施和執行細粒度訪問控制時提供了重要的上下文。
4、定義組
嘗試逐個地定義和執行安全策略是不可擴展且無效的。更好的方法是定義服務于類似目的的實體組,并對這些組定義和執行策略。有效的集團管理需要明確、一致的政策。定義可用于映射用戶、設備、VM 和應用程序所屬組的系統,以便可以在策略中動態使用這些組。
5、使用可擴展的安全解決方案分割流量
網絡分段是有效網絡安全的基礎。通過分段,組織可以定義檢查流量和實施安全策略的邊界。在混合數據中心執行網絡分段時,可擴展性和靈活性至關重要。網絡分段解決方案必須支持動態可擴展性。這確保了本地和云系統可以隨著業務的潮起潮落而本地擴展和縮減。
網絡分段解決方案還應設計為解決云的獨特用例。例如,公司越來越多地采用無服務器解決方案,因此混合數據中心安全解決方案應該支持無服務器安全。這使組織能夠獲得正確分段和保護無服務器應用程序所需的可見性和控制權。
6、創建動態訪問控制策略
一個組織的基礎設施可以在云中快速變化,安全需要能夠處理它。這意味著混合數據中心需要動態訪問控制策略。云安全解決方案應該能夠收集和分析來自整個生態系統(包括本地以及公共和私有云環境)的數據,以獲得必要的安全上下文并確保一致的安全執行。隨著這些環境的變化和發展,安全策略應該隨之變化,以提供最佳的、最新的保護和策略實施。
7、執行定期審計和審查
錯誤配置的安全設置是云安全事件的一些最常見原因。公司使用的各種基于云的服務——每個都有自己獨特的安全設置——意味著云部署通常沒有得到適當的保護。
隨著云部署成為企業 IT 基礎設施的一部分,云安全態勢管理 (CSPM)解決方案對于保護混合數據中心至關重要。CSPM 解決方案應提供跨多云環境的統一安全管理,并為安全團隊提供快速有效地響應潛在安全事件所需的集中可見性和管理。
8、集成 DevSecOps
DevSecOps旨在將安全性集成到現代開發流程中。這包括自動化流程,如漏洞掃描和安全策略更新,作為持續集成和部署 (CI/CD) 流程的一部分。借助混合數據中心,公司可以利用云的速度和敏捷性。安全地這樣做需要將安全性集成到開發和基礎設施管理流程中。
實施混合數據中心安全
隨著組織過渡到使用更多基于云的服務,安全性是一個重要的考慮因素。在實施基于云的基礎架構時,公司需要一個可以隨業務擴展的超大規模安全解決方案。
