IBM云计算安全指南

　　随着越来越多的组织转而采用针对应用开发和工作负载管理的云原生模型,云计算平台正在快速限制着基于边界的传统安全模式的有效性。那什么是云计算?即提供服务器虚拟化功能,从虚拟服务器到无服务器资源,为适当的工作负载选择正确的计算模型,灵活推动实现您和客户所期望的最终用户体验。

　　尽管边界安全机制依然很有必要,但就其本身而言,并无法完全确保安全。由于云端的数据和应用都处在旧的企业边界之外,因此必须采用新方式对这些数据和应用加以保护。对于正在转变到云原生模式或计划采用混合云应用部署的组织而言,必须通过有助于保护云工作负载安全性的技术来补充传统的基于边界的网络安全机制。企业必须确保云服务提供商能够保证从基础架构起往上的整个堆栈的安全。因此,在选择提供商时,基本的一点就是要建立对平台安全性的信任。

　　数据保护和监管合规性都是云安全的主要驱动因素,同时它们也是云采用的妨碍因素。这些问题的解决涉及到开发和运营的各个方面。在云原生应用中,数据可能分布在各个对象存储、数据服务和云平台之中,这就为潜在攻击提供了多个攻击面。此外,攻击并不仅仅来自于技术纯熟的网络黑客和外部来源;近期的一项调研结果显示,53%的受访者表示他们在之前12个月内曾遭遇过内部人员攻击。

　　云提供商会以软件定义网络安全服务的形式提供各种保护技术,包括Web应用防火墙、虚拟私有网络和服务拒绝减缓等,并按照使用量收费。在云计算技术时代,您可以考虑采用以下技术作为关键网络安全组件。

　　安全组和防火墙云客户通常会采用网络防火墙来进行边界保护(虚拟私有云/子网级网络访问),并针对实例级的访问构建网络安全组。安全组是云资源的访问授权的“第一道防线”。借助这些安全组,您可以轻松地添加实例级的网络安全组件,以管理公有网络和私有网络上的入站和出站流量。

　　微分段以小型服务集的形式开发云原生应用能够实现一定的安全优势,这有助于您使用网络分段将其隔离开来。因此,您需要一个能够通过网络配置和供应自动化来实施微分段的云平台。