一般当人们提到"云计算"时,通常指的是公有云。但是私有云和混合云呢?某知名安全厂商在近期所做的云端技术调查 结果显示,采用这三种类型云端技术的公司几乎是一样多的。虽然布署安全防护到不同的云端模型时会有部分相同的地方,不过也还是会有些差异,你的安全防护应该要能在布署特定云端模型时都能解决相对应的风险。
为了便于讨论,让我们来看看私有云、混合云和公有的基础设施即服务(Infrastructure as a Service,IaaS)云。无论布署哪种类型的云端技术,你都会希望拥有跟实体机器一样的安全防护:防火墙、杀毒软件、入侵检测和防御、应用程序管控、完整性监控、日志检查和加密等等。但是既然你已经使用云计算以达到灵活性、节约成本等好处。你的云安全应该要能和你的云端模型相互配合以发挥最大的效益。但是要如何在不同类型的云端技术上做到这一点?
虚拟数据中心和私有云
在虚拟数据中心和私有云中,你掌控了虚拟机管理程序(Hypervisor)。在这种环境中,你的云安全应该要能够整合虚拟机管理程序API以达到无代理(Agent-less)的安全防护。这种方式会在每个实体主机上部署一个专门安全虚拟机器,并且在每个子虚拟机器内安装轻量的驱动程序来协调和错开安全扫描和更新。这种方法有许多好处,包括拥有更好的性能、能够布署更多的虚拟机器,提供更实时的防护而不需要对外去做更新。而且因为不需要进行代理程序的布署、设定和更新也减少了管理的复杂度。此外像是虚拟机管理程序的完整性监控这样的安全防护也可以帮助保护这些运作环境。
公有云
在公有的IaaS环境中,企业没有办法掌控虚拟机管理程序,因为它是一个多租户的环境。如果没有虚拟机管理程序的控制权,那就需要在虚拟机器上安装基于代理(Agent-based)的防护程序,让虚拟机器可以保护自己,在共享的环境底下提供安全防护,也让虚拟机器跟其它虚拟机器保持隔绝。虽然代理程序会带给主机额外的负担,但是公有云的经济规模弥补了这一点,而且节省资本支出和以量计价的计算方式都带来了额外的成本效益。
混合云
使用混合云时,你可以同时享有私有云和公有云两者的好处。你的云安全应该提供灵活的部署选项,让你可以在私有云内使用无代理安全防护来得到更好的性能,也能在公有云内建立能自我防护的虚拟机器。如果你希望某些虚拟机器可以在私有云和公有云之间迁移,那你应该在需要迁移的虚拟机器上安装基于代理的安全防护,但仍可以和专门安全虚拟机器进行协调,使得迁移到私有云时也可以错开扫描和保持性能。当然,这些安全部署都应该能透过单一的控制台进行管理,管控你所有实体机器,虚拟机器以及私有云,公有云和混合云内服务器的安全防护。