混合云对应用层有哪些安全保障

复杂企业组织中的 IT 专业人员选择混合云组织，因为它支持当今数千名员工或多个软件开发团队的实际操作方式。由于当前 IT 环境的运行方式，业务经理必须 根据商品硬件的成本和对专有或开源软件服务的支持，在公共云主机之间进行评估。在过去十年中，高级业务管理人员迅速为财富 500 强中的大多数面向公众的软件服务采用了云外包。但是，这些高级决策者中的大多数仍然不允许将高度敏感的数据和文件远程托管在本地数据中心之外。支持 私有云的要求 或本地数据中心硬件是 混合云架构的主要特征，但这种网络形式给安全专业人员带来了独特的问题和挑战。

（1）混合云安全问题和挑战

许多高级业务主管认为，社会工程风险超过了公共云平台的好处，并且仍然不会同意将他们最关键或最敏感的数据和业务流程转移到远程主机。由于社会工程风险无法解决，私有云和本地数据中心设施需要越来越多地与混合云结构中的多个公共云资源和 SaaS 产品同时集成来进行管理。

2018 年， Kubernetes 发布了 CVE-2018-1002105，这是一个基于权限提升的严重安全漏洞，允许恶意用户使用 API 调用控制生产中的共享 Linux 内核。此问题影响了生产中 Kubernetes 的每个发行版和运行时环境，需要立即修补。研究人员现在正致力于为容器开发更好的微分段安全功能。容器虚拟化和管理程序虚拟化之间的差异 导致了混合云安全操作中解决服务网格这一层的特定问题和挑战。（推荐：混合云等保测评的价格和具体配置）

在确定采用混合 云架构的决定之后 ，系统管理员需要选择第三方供应商软件来从全球市场上可用的现有解决方案中编排网络。在实践层面上，这意味着在来自 IT 专业人士和初创公司的专有许可混合 云编排 平台之间进行选择，或者通过训练有素的员工和集成商公司采用开源解决方案。每个混合云编排平台和解决方案提供商都有其独特的优势和劣势，其中安全性需要成为在采用之前分析每个微服务解决方案时使用的主要因素。

混合云安全涉及 跨多个数据中心 和硬件设备 的服务网格所有层的 软件定义网络(SDN)、虚拟化和应用程序支持。公司越来越多地寻求混合云网络的“单一管理平台”管理 ，其中包括传统网络管理和数据中心管理软件的所有功能以及改进的实时数据包分析。混合云安全必须在分布式网络的所有级别运行，并包括对尚未在生产中彻底测试的新的、创新的软件平台的支持。 混合云 安全性给网络管理员带来了独特的问题，最好通过工具和实用程序来解决，这些工具和实用程序通过实现实时数据包扫描、监控和 网络分析的嵌入式 SIEM 应用程序集成在 SDN 编排通道中。

（2）混合云安全最佳实践

混合云安全的最佳实践基于服务网格中交织的安全信息和事件管理 (SIEM) 产品实施多层保护方法。模块化混合云安全系统在管理程序、操作系统、Web 服务器、数据库和应用程序层运行，网络诊断基于通过 Web 流量或其他 I/O 传输请求对数据包进行实时扫描、监控和分析。混合云解决方案主要通过基于管理程序虚拟化、容器虚拟化或两者组合的软件平台进行编排。

VMware 开创了一种嵌入式安全协议系统，该系统在生产中的管理程序级别运行，并在多租户云环境中创建微分段。 微分段 改进了多租户硬件上虚拟机的隔离，以防止在节点受到恶意软件、蠕虫或黑客未经授权的入侵的情况下攻击向量的横向传播。

微分段解决了权限提升问题，这被认为是在企业生产中大规模运行容器的最严重的安全威胁。

许多安全专家建议在虚拟机管理程序驱动的 VM 环境中运行容器，以便通过微分段实现更好的隔离，以防止潜在的权限升级。VMware 产品在虚拟机管理程序级别嵌入了人工智能通知的恶意软件、防病毒和不良请求扫描，以通过 NSX 分布式防火墙对生产中的混合云架构进行深度保护。NSX 分布式防火墙与 ESXi 一起安装在由 vSphere 或 vCloud 产品管理的每个虚拟机上，将自动安全警报和事件管理与网络分析和报告集成在一起。NSX 还可以作为防火墙即服务解决方案与 OpenStack 中的 Neutron 集成，以提高混合云的安全性。

（3）混合云安全架构

混合云安全始于对 Web 服务器的物理访问，这些 Web 服务器以专有代码、数据库、存储文件、记录、档案或其他资源的形式存储数据。由于根据定义，混合云架构中可用的硬件分布在全球多个数据中心，因此 IT 管理员被迫对所有供应商采取“零信任”策略。加密是安全研究人员在“零信任”环境（例如混合云架构中提供的环境）中保护数据安全的主要方法。加密策略需要应用在服务网格的每个级别，以实现包罗万象。这包括网络服务器或“裸机”级别的操作系统和软件代码的加密，以及传输、远程存储、后端进程等中的数据。 VMware vSAN Datastore 用于企业数据库加密，而 VMcrypt Encryption 则应用于云存储资源、备份和存档。

什么是混合云安全？

实时数据包扫描是所有网络分析的关键要素，越来越多地受到人工智能和机器学习方法的驱动，以防病毒、恶意软件和反 DDoS 防御系统。边缘服务器用于创建与现场 LAN 资源加强隔离的 DMZ 区域。Web 服务器安全包包括嵌入了虚拟机管理程序、操作系统、服务器发行版、数据库和应用程序组件的多个防火墙层，这些组件通过实施实时数据包分析的第三方软件实用程序进行扩展。网络防火墙规则可以跨 SD-WAN 和 SDN实施 通过使用主要 IT 供应商的云软件即服务计划来获取资源。混合云安全的“单一管理平台”管理包括自动 SIEM 响应以及复杂的网络分析、系统报告和隔离警报消息。