TAGS
La nube híbrida seguro abarca un entorno complejo con un complejo conjunto de requisitos de seguridad que abarcan el centro de datos (o armario de datos), los dispositivos de computación del usuario final, y diversos servicios en la nube. El punto de entrada a toda la nube híbrida es algún tipo de dispositivo de computación del usuario final ya sea un teléfono inteligente, tableta, ordenador portátil, o incluso un ordenador de sobremesa. Una vez que introduzca la nube híbrida, pueden llevarlo a un servicio en la nube o en su centro de datos. El objetivo es entender cómo los flujos de datos a través de este medio a cabo con el fin de asegurar correctamente y por lo tanto asegurar la nube híbrida, pero ya que es un entorno complejo, necesitamos una manera más sencilla para ver esta environment.To tratar de simplificar el entorno hay tres objetivos básicos:
En respuesta a estas tres preguntas ahora tenemos el siguiente diagrama. La Figura 1 (click en la imagen para ampliar) divide la nube híbrida en tres componentes distintos.
Dado que el principal punto de entrada a la nube híbrida es el dispositivo de computación de usuario final, entramos en lo que he llamado la parte de transición de la nube híbrida. El componente de transición de la nube híbrida tiene todos los elementos que se encuentran en los puntos de decisión efecto sobre dónde obtener o enviar a nuestros usuarios y datos. Veamos cada componente de transición:
Fin de Informática de usuario - El dispositivo final Informática de usuario es cualquier dispositivo que el usuario está utilizando actualmente para realizar su trabajo diario para su organización, familia, etc. Sobre estos dispositivos generalmente podemos poner la seguridad de punto final en la forma de gestión de dispositivos móviles y otros valores agentes relacionados. Incluso podemos colocar un hipervisor móvil que permite el acceso a una máquina virtual cifrada. En cualquier caso, el dispositivo puede registrar datos a través de un agente para algunos servidor de registro para su posterior análisis. (VMware, Citrix, hierro móvil, RSA, Bromium, McAfee, Symantec, Trend Micro, BitDefender, y otros juegan en el espacio EUC). Identidad / Autenticación y Autorización - La identidad es una parte importante de asegurar el acceso a la nube híbrida, nuestra tienda de identidad sobre la que realizar la autenticación y, posiblemente, la autorización puede vivir dentro de una nube, como SalesForce (por McAfee Nube Trust) o dentro de directorio activo o algún otro servicio LDAP dentro del centro de datos o incluso dentro de otra nube IaaS. Empresas como Trusteer
Software as a Service - SaaS nubes tienen severas limitaciones sobre lo que puede hacer para asegurar el entorno, específicamente se puede cifrar los datos a medida que entra el SaaS, utilizando algún tipo de formato de la preservación de cifrado, o utilizar la API de SaaS (si existe) para acceder a los datos de registro para determinar lo que ha sucedido en el entorno SaaS. También puede utilizar un servicio de proxy como VMware Horizonte para controlar la identidad al tiempo que permite el acceso a los SaaS. Usted tiene que aplicar la seguridad fuera de SaaS como usted es limitado por lo que el proveedor de SaaS permite. Plataforma como servicio - nubes PaaS también tiene limitaciones que son ligeramente diferentes de nubes SaaS. Aunque normalmente no se puede añadir en componentes de seguridad mucho, se le dio la oportunidad de agregar seguridad y registro de puntos finales en su aplicación. Si es el propietario de la instancia (por ejemplo, con un ambiente privado PaaS) también se puede añadir mucho más dentro de la plataforma. PaaS se limita a lo que la plataforma proporciona y permite. Infraestructura como Servicio - IaaSnubes que permiten casi todo el espectro de la funcionalidad de seguridad. Usted puede agregar en IaaS todo lo que está por encima del hardware y el hipervisor. Lo que implica cualquier herramienta de seguridad que tratan de hacer que en general no se permitirá el uso de la introspección hipervisor como VMware vCloud de red y de aplicación de seguridad (a menos que la nube en cuestión es en realidad vCloud). IaaS puede ser visto como que le proporciona acceso a un entorno donde el control de las máquinas virtuales y no tiene mucho control sobre la red fuera de esas máquinas virtuales. Sin embargo, es posible crear redes y el uso de las reglas de direccionamiento para forzar el tráfico a través de los dispositivos de seguridad (tanto como lo haría con el hardware físico). Con IaaS, el registro de eventos es hasta el dueño del inquilino IaaS. Almacenamiento como servicio - almacenamiento como un servicio es bastante único, ya que es por lo general sólo un repositorio de datos y tal no permite mucho para ser asegurado. La seguridad de los datos se agrega fuera de servicio del servicio tiene que serhecho antes de la adición al ver la forma en que se clasifican los datos y el cifrado según sea necesario. El titular de los datos debe controlar todas las claves de cifrado, independientemente de lo que el proveedor de la nube. Aun así, usted quiere que su almacenamiento como un proveedor de servicios para proporcionar los registros de acceso de archivo u objeto accesos, cambios, y la absorción por los usuarios y dispositivos.
La parte final de cualquier nube híbrida es el propio centro de datos (lado izquierdo de la Figura 1 arriba) y es el único lugar en el que todos los controles de seguridad de hardware, así como el software pueden vivir. Sin embargo, para el centro de datos que es parte de una nube híbrida, ese centro de datos es también una nube de tipo con múltiples inquilinos, que podría ser diferentes organizaciones, zonas de confianza, o incluso diferentes empresas. Todo depende de cómo se defina inquilino dentro de su organización. Si la organización era un proveedor de servicios, a continuación, los inquilinos son los clientes. Si la organización de un gobierno, entonces los inquilinos serían diferentes departamentos que pueden tener diferentes clasificaciones de seguridad y la nube en sí estaría incluida en la más alta clasificación de los datos disponibles. Lo que implica, al menos, la clasificación es parte de la definición inquilino. En todos los casos, hay una necesidad de garantizar la seguridad de algunos componentes bastante específicas de un centro de datos con respecto a la nube híbrido.
Gestión - El / inquilino / zona de confianza de centros de datos virtuales de gestión / cargas de trabajo es la parte crucial de cualquier centro de datos, ya que por lo general contiene las llaves del reino. El acceso a los componentes de administración implica el acceso a todo lo demás. Para asegurar niveles de gestión empleamos el registro y seguimiento, herramientas de seguridad (punto final de Symantec, Trend Micro, BitDefender, etc), los proxies específicos de gestión (Hytrust, Xceedium, etc.), herramientas de automatización para eliminar el elemento humano de las tareas repetitivas, la seguridad perimetral servicios, y servicios de seguridad de redes virtuales. Arrendatario - El inquilino contiene cargas de trabajo, las aplicaciones que se ejecutan dentro del centro de datos y son manejadas por el componente de gestión de la nube. Ellos se aseguran en gran parte la misma manera que se aseguran las cargas de trabajo de gestión, pero con una ligera diferencia, que no poseen las llaves del reino, pero que por lo general poseen las llaves de los datos y, como tal necesidad de emplear mecanismos de seguridad para limitar el acceso a los datos. Sin embargo, las formas de poner en práctica ely lo que se presenta a cada inquilino o componente de transición tiene que ser investigado, comprendido y controlado. La división de almacenamiento por el inquilino es una forma de lograr este nivel de control. Multi-propiedad Registro - Todos los datos de registro de todas las capas de una nube híbrida (ya sea desde la nube o los componentes de transición) debe terminar dentro de una herramienta de registro centralizado que sabe cómo dividir los troncos por el inquilino, componente, y la ubicación. Estos datos de registro de forma se pueden compartir con los inquilinos para que los inquilinos pueden hacer análisis adicionales si es necesario. Por el momento, hay una deficiencia grave en cómo está marcada datos de registro, el momento no es por el inquilino. Splunk, RSA, HP y otros juegan en este espacio. Analytics para múltiples usuarios - Seguridad Analytics es un campo cada vez mayor ya que no está disponible para terabytes de análisis si no petabytes de registro y seguimiento de los datos disponibles y hay una necesidad de analizar estos datos en tiempo real para hasta la determinación momento de los eventos de seguridad para una mayor investigación. Desafortunadamente, justoal igual que los datos de registro, análisis no tiene un medio para dividir los datos por el inquilino, ya que no sólo tiene que mirar a toda la impresión del pie de la nube híbrida, pero a menudo ataca a los inquilinos cruzadas, organizaciones, zonas de confianza, etc. Splunk, RSA , HP y otros juegan en este espacio cada vez mayor.
Esta es una guía de donde se puede colocar la seguridad dentro de una nube híbrida, así como una forma de examinar más a fondo en el que los datos se va. Esta guía está diseñada para mostrar los modos de constitución lugares se pueden colocar, mostrar el tipo de seguridad que se puede colocar, muestran que hay más de un tipo de seguridad requerido, así como la simplificación de un entorno complejo. La guía también señala que hay algunas deficiencias con la tecnología actual con respecto a la multi-tenantcy. A medida que avanzamos hacia la nube, los datos de eventos de registro, monitoreo y seguridad deben llegar a ser de varios inquilinos para que los datos pueden ser compartidos entre la nube híbrida y los que poseen la nube.
Puede haber incluso un quinto componente de transición que iba a colocar actualmente en las pasarelas y que es una forma de compartir los datos de amenazas entre todos los componentes de la nube híbrida, así como con otras nubes híbridas.
¿Dónde poner la seguridad dentro de su nube híbrida?
.
