富士通荷兰分公司的多云与应用服务总监、企业安全架构师JeRoen MuldeR分享了组织在制定多云安全架构规划时,从业务和客户的视角出发的重要性。他指出,建立多云环境的过程类似于设置一部新智能手机,需要进行重新配置。
他提到:“当我打开新手机的包装时,它几乎是无法使用的。首先,我需要将其连接到互联网,接着下载应用程序,随后输入数据以实现个性化设置。最后,我会启用面部识别等功能,并采取必要的安全措施,确保只有我本人能使用这部手机。”
MuldeR表示,多云的概念与此相似。在多个平台上运行复杂环境的过程中,需制定一套全面的策略,以应对连接性、应用程序、数据存储和安全性等问题。
在他撰写的《多云架构和治理》中,MuldeR强调了企业架构知识在制定以业务目标为导向的多云战略中的重要性,以及它在安全战略中的地位。
MuldeR详细阐述了作为企业架构师如何影响安全策略,并为云计算及安全领域的专业人士提供了职业发展建议。他在接受行业媒体采访时,回答了相关问题。
您为什么会撰写关于多云架构及其治理的书籍?
MuldeR:应用程序是云计算基础设施的核心。然而,目前关于如何在AWS、Azure或谷歌云平台上进行设置的书籍较少,对如何使用这些不同云平台的讨论也相对匮乏。因此,我决定自己撰写一本书。
我首先从技术角度对全球三大公共云进行了对比,站在企业架构师的立场思考。这使得书籍的第一部分专注于多云治理与架构。在考虑安全技术之前,必须首先考虑业务需求和架构框架,因此规划多云策略显得尤为重要。
人们对多云安全的常见误解是什么?
MuldeR:许多公司仍然认为,一旦进入混合云或多云环境,他们的工作负载就会自动得到保护。然而,这显然是不正确的。这些云平台所提供的仅仅是一个工具箱,用户需要利用这些工具来保护他们的运营环境。这与在传统基础设施中确保工作负载安全的方式并无二致。
组织不应抱有可以完全阻止网络攻击者进入其系统的幻想。然而,在面对不可避免的攻击时,组织可以制定应对策略,保护运营范围内的资产。例如,采取适当的措施使得一旦数据落入攻击者手中就无法使用。
在多云环境中,保护外围设备的资产尤为重要,因为组织并不总是完全了解所有资产的具体情况。许多客户并不知道他们的服务分布在全球不同地区,因为云平台的存在使得数据不再局限于组织内部的数据中心。
企业如何应对和阻止云蔓延?
MuldeR:云蔓延增加了安全管理的复杂性。为防止蔓延,组织应尽可能将所有内容集中在一个堆栈中,但在多云的环境中这并不现实。以智能手机为例:人们在使用手机时,往往会使用来自Google、Apple、Microsoft等多个来源的不同应用程序,确保它们的安全性最终依赖于用户自身。确保安全的责任在于唯一可以访问手机的用户,例如启用FACE ID身份验证。
多云安全的最佳实践首先需要对资产和身份进行审查,明确谁在组织的系统中以及他们的原因。需要关注的是,身份可以适用于收集数据、软件服务、应用程序和API。当组织将这些视为身份验证因素时,便能更容易地思考如何保护数据和应用程序。
企业架构师的培训如何影响组织的多云安全策略?
MuldeR:组织需学习如何构建企业架构,因为多云安全不仅仅是技术问题。虽然搭建防火墙是一种安全的捷径,但安全的根本在于治理。必须回答一系列问题,例如,谁有权进入什么系统?在哪些层面上需要保护系统?为什么要这样做?在治理之后,组织应关注数据,其次是应用程序,最后是技术。企业架构关注整体,确定技术是否能为组织增值。
组织可以在云计算环境的任何部分构建更强大的虚拟防火墙以确保安全,但这样做也可能导致系统无法使用。组织必须在安全性与可用性之间找到平衡。
在多云环境中工作的非技术技能有哪些重要性?
MuldeR:从治理的角度来看,耐心倾听客户的意见至关重要。信誉是组织与客户建立关系的基础,因此要自信但不傲慢。需要冷静地解释问题,并随时愿意接受新的观点。
在撰写《多云架构和治理》一书的过程中,您学到了哪些有趣的事情?
MuldeR:我使用和研究了三大主要云平台AWS、Azure和GCP。有趣的是,这些云平台之间存在一些相似之处,同时也有许多完全不同的地方。在书籍撰写之前,我对AWS和Azure已有很深的了解,而谷歌云平台GCP则是我首次接触。
使用谷歌云平台的过程是从云计算控制台入手,而非通过脚本或PowerShell开始。这是一个耗时的过程,但为了撰写这本书,我必须通过控制台进行所有操作。起初,我感觉自己仿佛回到了十年前,重新学习Unix编程。但令我惊讶的是,其强大功能让我能够在谷歌云平台上完成一些从未想象过的事情,这对我而言是一次重大的发现。
从事多云环境安全架构师应获得哪些认证?
MuldeR:毫无疑问,开放组架构框架TOGAF应当是其中之一。建议安全架构师获得TOGAF认证以及其他安全认证。
对于正在进入云端的组织,起步并不重要。可以从AZ-900:Azure基础知识或AWS基础认证开始。所有云采用框架都涵盖身份、安全性、成本管理和治理。无论是AWS、Azure还是谷歌云平台,云计算基础课程的唯一区别在于技术实现。虽然它们的外观可能有所不同,但学习通用的公共云概念将使组织能够在任何云计算环境中顺利运作。
[[[IMG_1]]]
[[[IMG_2]]]
[[[IMG_3]]]
