部署公有云现在似乎已经成为了企业转型的新常态,据思科(Cisco)预测,到2019年,将有逾一半(56%)的云端工作负载集中于公有云。这意味着公有云将以44%的数字同比增长。如此巨幅的增长,或许证明了目前公有云的实际情况已经远远超越了我们预估的水平。
众所周知,公有云普及速度如此之快的原因是在于公有云比企业内部运行环境成本更低,并且兼具弹性和可扩展性。然而有得必有失,有些取舍是显而易见的。迄今为止,由于这些公有云或多或少都缺乏透明,所以到目前,关于云安全性是否值得信赖依然是个问题。的确,企业需要对其公共虚拟化环境进行监控以确保其与本地部署和私有云环境一样稳健。
但事实上大多数企业通常并非如此。在对一系列企业的虚拟化实践调研时,我们发现只有37%的企业采取与物理虚拟化环境相同的标准来监控虚拟化环境。当我们看到高达67%的受访者在公有云中都部署有关键业务应用程序时,这个问题就显得尤为突出了,因为它们的日常运作完全依赖于一个非透明的环境。目前公有云在可视性方面仍存在巨大差距,各企业已迫不及待的想要解决这个问题。
幸运的是,遵循以下四个原则就能提升公有云的可视性。企业只要在转入公有云之前实施它们,就可以确保在新的虚拟化环境中轻松而有效地开展安全监控。
1.复制——从数据中心的虚拟机提取想要的流量作为副本,以便企业可以进行更详细的进一步检查。流量复制非常简单,可以通过虚拟TAP(vTAP)或数据包捕获代理来实现。
2.过滤器——利用网络数据包中转设备控制虚拟流量进入主机计算机的速率。在该过程中,东西向流量(在您数据中心的设备之间)和南北向流量(出入您的数据中心)之间的差异很重要。在虚拟化环境中,东西向流量占总流量的比例更大,因此需要对其进行过滤以阻止系统负载过量。
3.数据包处理和整理——将您的数据包分解成可管理的块,从而使安全工具更加高效。数据包处理,数据包整理和代理都是很有用的流程。
4.分析——最后,您需要部署智能分析工具,并通过它们过滤流量(现在进行流量的仔细分解并组织成可管理的数据包)。您可以在同一主机网络上完成此操作,或者,如果要处理特别大的流量,可能需要从外部进行过滤,在这种情况下,您可以使用隧道协议通过主机管理出口。此阶段的要点是分析每个数据包的威胁,确定在部署公有云之前应识别主要的薄弱之处。
公有云环境将是企业IT基础设施的未来。但为了充分实现公有云的优势(并避免引入任何风险),企业对公有云实现与物理网络相同标准的监控和可视性将至关重要,所以请务必确保您正在为未来的架构扩展做好准备。
本文作者:佚名
来源:51CTO