什么是混合云安全？

混合云安全涉及 跨多个数据中心 和硬件设备 的服务网格所有层的 软件定义网络(SDN)、虚拟化和应用程序支持。公司越来越多地寻求混合云网络的“单一管理平台”管理 ，其中包括传统网络管理和数据中心管理软件的所有功能以及改进的实时数据包分析。混合云安全必须在分布式网络的所有级别运行，并包括对尚未在生产中彻底测试的新的、创新的软件平台的支持。 混合云 安全性给网络管理员带来了独特的问题，最好通过工具和实用程序来解决，这些工具和实用程序通过实现实时数据包扫描、监控和 网络分析的嵌入式 SIEM 应用程序集成在 SDN 编排通道中。

复杂企业组织中的 IT 专业人员选择混合云组织，因为它支持当今数千名员工或多个软件开发团队的实际操作方式。由于当前 IT 环境的运行方式，业务经理必须 根据商品硬件的成本和对专有或开源软件服务的支持，在公共云主机之间进行评估。在过去十年中，高级业务管理人员迅速为财富 500 强中的大多数面向公众的软件服务采用了云外包。但是，这些高级决策者中的大多数仍然不允许将高度敏感的数据和文件远程托管在本地数据中心之外。支持 私有云的要求 或本地数据中心硬件是 混合云架构的主要特征，但这种网络形式给安全专业人员带来了独特的问题和挑战。

混合云安全问题和挑战

许多高级业务主管认为，社会工程风险超过了公共云平台的好处，并且仍然不会同意将他们最关键或最敏感的数据和业务流程转移到远程主机。由于社会工程风险无法解决，私有云和本地数据中心设施需要越来越多地与混合云结构中的多个公共云资源和 SaaS 产品同时集成来进行管理。

2018 年， Kubernetes 发布了 CVE-2018-1002105，这是一个基于权限提升的严重安全漏洞，允许恶意用户使用 API 调用控制生产中的共享 Linux 内核。此问题影响了生产中 Kubernetes 的每个发行版和运行时环境，需要立即修补。研究人员现在正致力于为容器开发更好的微分段安全功能。容器虚拟化和管理程序虚拟化之间的差异 导致了混合云安全操作中解决服务网格这一层的特定问题和挑战。

在确定采用混合 云架构的决定之后 ，系统管理员需要选择第三方供应商软件来从全球市场上可用的现有解决方案中编排网络。在实践层面上，这意味着在来自 IT 专业人士和初创公司的专有许可混合 云编排 平台之间进行选择，或者通过训练有素的员工和集成商公司采用开源解决方案。每个混合云编排平台和解决方案提供商都有其独特的优势和劣势，其中安全性需要成为在采用之前分析每个微服务解决方案时使用的主要因素。

混合云安全最佳实践

混合云安全的最佳实践基于服务网格中交织的安全信息和事件管理 (SIEM) 产品实施多层保护方法。模块化混合云安全系统在管理程序、操作系统、Web 服务器、数据库和应用程序层运行，网络诊断基于通过 Web 流量或其他 I/O 传输请求对数据包进行实时扫描、监控和分析。混合云解决方案主要通过基于管理程序虚拟化、容器虚拟化或两者组合的软件平台进行编排。

VMware 开创了一种嵌入式安全协议系统，该系统在生产中的管理程序级别运行，并在多租户云环境中创建微分段。 微分段 改进了多租户硬件上虚拟机的隔离，以防止在节点受到恶意软件、蠕虫或黑客未经授权的入侵的情况下攻击向量的横向传播。

微分段解决了权限提升问题，这被认为是在企业生产中大规模运行容器的最严重的安全威胁。

许多安全专家建议在虚拟机管理程序驱动的 VM 环境中运行容器，以便通过微分段实现更好的隔离，以防止潜在的权限升级。VMware 产品在虚拟机管理程序级别嵌入了人工智能通知的恶意软件、防病毒和不良请求扫描，以通过 NSX 分布式防火墙对生产中的混合云架构进行深度保护。NSX 分布式防火墙与 ESXi 一起安装在由 vSphere 或 vCloud 产品管理的每个虚拟机上，将自动安全警报和事件管理与网络分析和报告集成在一起。NSX 还可以作为防火墙即服务解决方案与 OpenStack 中的 Neutron 集成，以提高混合云的安全性。

混合云安全架构

混合云安全始于对 Web 服务器的物理访问，这些 Web 服务器以专有代码、数据库、存储文件、记录、档案或其他资源的形式存储数据。由于根据定义，混合云架构中可用的硬件分布在全球多个数据中心，因此 IT 管理员被迫对所有供应商采取“零信任”策略。加密是安全研究人员在“零信任”环境（例如混合云架构中提供的环境）中保护数据安全的主要方法。加密策略需要应用在服务网格的每个级别，以实现包罗万象。这包括网络服务器或“裸机”级别的操作系统和软件代码的加密，以及传输、远程存储、后端进程等中的数据。 VMware vSAN Datastore 用于企业数据库加密，而 VMcrypt Encryption 则应用于云存储资源、备份和存档。

实时数据包扫描是所有网络分析的关键要素，越来越多地受到人工智能和机器学习方法的驱动，以防病毒、恶意软件和反 DDoS 防御系统。边缘服务器用于创建与现场 LAN 资源加强隔离的 DMZ 区域。Web 服务器安全包包括嵌入了虚拟机管理程序、操作系统、服务器发行版、数据库和应用程序组件的多个防火墙层，这些组件通过实施实时数据包分析的第三方软件实用程序进行扩展。网络防火墙规则可以跨 SD-WAN 和 SDN实施 通过使用主要 IT 供应商的云软件即服务计划来获取资源。混合云安全的“单一管理平台”管理包括自动 SIEM 响应以及复杂的网络分析、系统报告和隔离警报消息。

混合云安全的组成部分

关注服务网格的所有层是混合云安全的最重要特征。在网络服务器分区层，公司主要使用管理程序虚拟化或容器虚拟化来部署混合云架构。 容器 在生产中运行一个大大缩小的操作系统，其中包含最少的驱动程序包集以提供支持。NanoOS、RancherOS、Alpine Linux、CoreOS 等容器操作系统构建通过减少多租户环境中内核的可用攻击向量来提高生产中的混合云安全性。操作系统安全更新的自动修补加快了关键升级的上市时间。Web 服务器的滚动操作系统安全更新已集成到大多数容器管理和 VM 编排软件包中.

在应用层，版本控制和 CICD 流程可以在部署之前进行更好的代码测试，可以在沙箱中隔离并在生产中自动化，以确保不会引入会导致意外 Web 安全漏洞的错误。 Selenium、Travis CI 和 Cucumber 等DevOps 工具将自动化代码测试引入到软件开发生命周期中，从而提高了定制 Web 和移动应用程序的混合云安全性。单个 Web 服务器上的大量微服务和交互的第三方软件实用程序向混合云安全专业人员提出了战术问题，可以通过更好的隔离、微分段和反病毒自动响应生成在元级别上解决这些问题由 AI/ML 驱动的实用程序。

混合云安全的技术控制

混合云代表一种集成网络部署，它跨越一个或多个公共云托管环境，同时包括对私有云 硬件的同时支持 。超过 90% 的企业表示他们将实施混合云基础架构 到 2020 年，在其 IT 部门中实现这一目标。许多复杂的组织支持数千个具有在线域属性的品牌，其中包括 Web 和移动应用程序。不同部门和垂直领域的软件开发通常由独立团队在相互竞争的公共云服务平台上进行操作，因为每个团队在 Web 服务器、编程语言和数据库支持方面都存在明显的优势或劣势。这些公司将来自数百名第三方开发人员的 SaaS 产品集成到日常运营中，作为员工生产力、销售、客户支持和制造的一部分。

这种服务组织创造了对混合云安全性的独特需求，以通过多层交织的防火墙、 网络监控来保护通信、财务记录和存储中的数据隐私 服务和加密。备份、恢复和灾难管理程序与业务安全相关，由需要对数据库、存储文件和软件代码版本进行多次备份的系统管理员构建到混合云架构中。然而，多种形式和版本以及跨多个数据中心和设施的数据备份副本的激增产生了独特的安全问题，需要通过“零信任”策略在存储链的所有级别进行加密来管理，包括将备份传输到第三方站点、辅助数据中心或替代媒体。混沌测试、模糊测试和渗透测试以在实时生产环境之外无法预料的模式模拟潜在的系统故障。