过去,数据中心主要由部署在本地的物理设备组成。现代数据中心是一个混合体,将本地系统与分布在多个公共云和私有云上的基于云的基础设施相结合。这些混合数据中心包括平台之间的编排,允许在本地和基于云的基础架构之间共享应用程序和数据。遵循数据中心安全最佳实践计划将确保其运营、应用程序和数据免受威胁。
混合数据中心安全最佳实践
虽然数据中心安全是物理安全和网络安全的混合体,但我们在这里关注数据中心安全的网络安全方面。有关数据中心物理安全的更多信息,请查看我们的数据中心认证页面。
混合数据中心需要在本地和云环境中一致应用和实施的安全性。业务发展的快速步伐还要求解决方案与公司一起扩展并与业务目标保持一致。有效的混合数据中心安全提供跨环境的深度可见性和零信任安全原则的实施。保护混合数据中心需要遵循几个安全最佳实践。
1、识别和控制数据
在过渡到即服务模型时,组织正在放弃对其基础架构某些部分的控制。云提供商可以控制平台、操作系统、系统等,并且不提供对这些资源的可见性或访问权。在为云设计安全性时,一切都与数据有关。组织需要制定策略,以在云服务提供商的限制范围内保持对其数据的控制。
在您开始评估阶段时,请确保制定计划以保持对数据的控制。在本地,这意味着在计划中设计冗余。制定有弹性的冗余系统和备份或灾难恢复计划。对于云提供商来说,这意味着审查他们的 SLA,以确保他们在可用性 (99.9999x) 和访问方面拥有客户的期望。
2、对敏感数据进行分类
迁移到云时,组织需要知道哪些数据是敏感数据。这有助于设计对这些数据的保护,并确保其受到适用法规的保护。所有数据都应根据其敏感性、数据类型以及拥有该数据的业务部门进行标记。该标签为法规遵从性政策提供信息,并确保对某些业务部门重要的数据符合可访问性和可用性 SLA。
3、映射数据流
在混合数据中心中,数据将定期在本地和云环境之间流动。保护这些数据需要深入了解这些数据流,以便允许合法数据流并阻止可疑或恶意数据流。在映射数据流时,在映射中包含用户、网络、系统和应用程序非常重要。这在实施和执行细粒度访问控制时提供了重要的上下文。
4、定义组
尝试逐个地定义和执行安全策略是不可扩展且无效的。更好的方法是定义服务于类似目的的实体组,并对这些组定义和执行策略。有效的集团管理需要明确、一致的政策。定义可用于映射用户、设备、VM 和应用程序所属组的系统,以便可以在策略中动态使用这些组。
5、使用可扩展的安全解决方案分割流量
网络分段是有效网络安全的基础。通过分段,组织可以定义检查流量和实施安全策略的边界。在混合数据中心执行网络分段时,可扩展性和灵活性至关重要。网络分段解决方案必须支持动态可扩展性。这确保了本地和云系统可以随着业务的潮起潮落而本地扩展和缩减。
网络分段解决方案还应设计为解决云的独特用例。例如,公司越来越多地采用无服务器解决方案,因此混合数据中心安全解决方案应该支持无服务器安全。这使组织能够获得正确分段和保护无服务器应用程序所需的可见性和控制权。
6、创建动态访问控制策略
一个组织的基础设施可以在云中快速变化,安全需要能够处理它。这意味着混合数据中心需要动态访问控制策略。云安全解决方案应该能够收集和分析来自整个生态系统(包括本地以及公共和私有云环境)的数据,以获得必要的安全上下文并确保一致的安全执行。随着这些环境的变化和发展,安全策略应该随之变化,以提供最佳的、最新的保护和策略实施。
7、执行定期审计和审查
错误配置的安全设置是云安全事件的一些最常见原因。公司使用的各种基于云的服务——每个都有自己独特的安全设置——意味着云部署通常没有得到适当的保护。
随着云部署成为企业 IT 基础设施的一部分,云安全态势管理 (CSPM)解决方案对于保护混合数据中心至关重要。CSPM 解决方案应提供跨多云环境的统一安全管理,并为安全团队提供快速有效地响应潜在安全事件所需的集中可见性和管理。
8、集成 DevSecOps
DevSecOps旨在将安全性集成到现代开发流程中。这包括自动化流程,如漏洞扫描和安全策略更新,作为持续集成和部署 (CI/CD) 流程的一部分。借助混合数据中心,公司可以利用云的速度和敏捷性。安全地这样做需要将安全性集成到开发和基础设施管理流程中。
实施混合数据中心安全
随着组织过渡到使用更多基于云的服务,安全性是一个重要的考虑因素。在实施基于云的基础架构时,公司需要一个可以随业务扩展的超大规模安全解决方案。