全球组织将其 60% 的数据存储在云中。云计算的普及将在 2023 年无可争议地发展,预计未来几年将增长。使用云存储和计算服务运行企业虚拟机的主要好处包括数据可用性和此类基础架构的成本效益。
但是,将云计算作为组织的主要数据存储具有缺点。这里的主要问题是数据和云虚拟机的安全性:云基础架构的性质使得为数据提供适当级别的保护具有挑战性。在这篇文章中,我们解释:
在云计算中使用虚拟机需要采取适当的措施来提高安全性。在继续解释特定建议之前,让我们回顾一下运行云基础架构的组织可能面临的主要问题:
与任何IT保护系统一样,有关云虚拟机安全性的最关键建议是基本建议。忽略这些简单的准则会增加安全故障、凭据泄露以及不良行为者进一步不当使用数据或系统的风险。查看以下五个技巧,了解如何提高基础架构中云虚拟机安全的效率。
使用虚拟网络使你能够保持与基础结构不同节点连接的灵活性。但是,这意味着虚拟网络经常被修改,并且可以在计算机、服务或数据存储库之间建立不需要的连接。这可能会导致通过 VM 的计划外数据流通和泄漏威胁,这些威胁可能一直隐藏到最后一刻。
若要避免最坏的情况,请仔细检查虚拟网络,并确保它们安全且独立。定期修订网络路由,并在与 VM 建立新连接之前和之后检查更改。
将基础结构管理与服务本身隔离是增强虚拟机安全性的另一个重要步骤。管理 API 用于设置和规范功能、服务行为和特性,这意味着每个此类 API 都会产生大量风险。
必须保护所有管理 API,但应特别注意那些控制基础结构部分的 API。确保只有经过授权和合格的员工才能访问此类 API。
在为 VM 实现新特性、组件和功能之前,应检查这些元素是否与安全要求(包括内部策略和合规性要求)相关。外部威胁是安全措施旨在应对的典型案例,但内部攻击经常被忽视,而当它们发生时具有破坏性。
在 VM 上安装应用或配置特性或功能后,任何元素都可能具有在发布时未被注意到的安全漏洞。添加未经验证的组件时,整个 VM 将成为基础结构安全性的弱点,从而为其他环境元素提供攻击机会。为虚拟机的高级验证和生命周期管理开发一个模板,明确说明审核点。然后,每次对计算机进行更改时都使用该模板。
云虚拟机安全性的另一个关键点是隔离您托管的每个新元素。例如,如果您在云中拥有网络内用户可以以任何方式访问的服务或功能,则任何功能或服务都可能成为网络攻击目标。
在专用子网中隔离托管和要素连接是一种解决方案。这就是提高云虚拟机及其应用程序的弹性的方法。
无论您的安全措施多么先进和彻底,打算突破它们的黑客都会领先一步,并且可以想出足够复杂的恶意软件来绕过该保护。因此,使用设置和数据保护 VM 的唯一可靠方法是定期正确备份这些工作负荷。
现代虚拟机备份解决方案可以帮助您自动将云虚拟机备份到不同的目标。然后,可以将这些 VM 恢复到其原始位置或自定义位置,并将停机时间降至最低。考虑将此类一体化数据保护解决方案之一集成到组织的基础架构中,以确保数据可用性和业务连续性。
以上五点对于维护云虚拟机的安全性至关重要。但是,应用其他常见安全做法可以进一步增强组织中的数据保护。您可以在下面查看适用于任何基础架构(包括虚拟化环境)的另外三个安全提示。
无论您的数据保护措施多么严肃和先进,用于访问 VM、云服务帐户、控制面板和仪表板的密码都必须强大。否则,就像你会在厚墙和装甲窗户上投入大量资金,而不关心在前门插入锁。
强密码至少包含八个符号:大写和小写字母、数字和特殊字符。可靠密码的另一个重要特征是它应该是没有意义的:一个好的密码是没有任何逻辑或意义的密码,黑客在试图突破安全性时可能会猜到。下面是两个示例:
可靠密码:2&4fkOzQ*0@8
不可靠的密码:Johnny07231976嘿!
注意:密码中的符号越多,黑客突破该密码的挑战就越大。
加密动态数据(传输期间)和静态数据(磁盘上)可以防止未经授权的第三方窃取或修改关键数据。因此,请尝试至少加密组织在内部网络和基础结构外部发送的每条数据。当然,内部流量加密可以进一步增强数据保护,但在这种情况下,您需要提供额外的资源以保持性能在同一水平。
对于有权访问云基础架构(尤其是关键元素)的每个用户来说,双因素身份验证都是必须的。这样的措施增加了一层安全:例如,要登录,您必须提供密码和来自Google身份验证器的额外身份验证密钥。因此,您可以防止泄露密码的黑客检索对云虚拟机的访问权限,并及时做出反应以关闭该漏洞。
基于角色的访问控制 (RBAC) 是另一种强烈建议用于增强任何基础结构安全性的方法。RBAC 使您能够根据用户在组织中的角色为每个用户授予特定权限。因此,访问员工帐户的黑客只能访问、窃取和修改有限数量的数据。
Kubernetes 最初是一个用于容器的开源编排平台,可以成为云工作负载(包括虚拟机)的便捷安全管理解决方案。当添加到您的云基础架构中时,Kubernetes 使您能够利用控件的灵活性和自动化功能来增强保护。
例如,您可以部署云虚拟机,然后将 Kubernetes 设置为根据当前负载和应用的安全策略自动管理该虚拟机可用的资源。此外,Kubernetes 可以通过控制对工作负载的访问、为您存储的机密设置适当的机密性以及检查新添加的工作负载是否具有正确的配置来提供所需的数据保护级别。
同样重要的是,与云提供商的本机功能相比,Kubernetes 可以为您提供额外的或替代的安全功能。您可以组合应用于云工作负载的策略,因为 Kubernetes 在提供商的安全服务和您的策略目标之间设置了一个额外的抽象层。
在云计算中保护虚拟机需要全面了解当今与云基础架构相关的威胁和挑战。在以下情况下,可以设置具有弹性的云虚拟机:
此外,使用常见的安全方法,例如生成可靠密码、加密数据、双因素身份验证和基于角色的访问控制。它们可以增强对任何 IT 基础架构的保护,包括云虚拟机和整个环境。为了简化安全管理,您还可以考虑将 Kubernetes 集成到您的基础架构中。