四份权威报告解读

很多企业将某些工作负载转移到本质上冗余且可靠的云服务，其吸引力在于，本地基础架构的严格控制和沉没成本与云计算规模、灵活性和效率相结合。但是，某些云服务的局限性很快会让IT架构师感到恼火，他们会试图争取从各种云中选择同类最佳产品的自由。同时，IT和业务主管在多云中看到机会，可根据云服务成本来分析资源使用情况，以选择将工作负载放在最便宜的替代方案。

无论哪种情况，正确部署多云策略都需要软件：

• 管理分布在多个环境的资源;
• 仔细评估定期变更的服务产品组合及其定价模型;
• 为每个工作负载推荐最佳目的地;
• 自动进行工作负载放置、配置和维护;
• 总结资源使用情况和成本;
• 使用先进的机器学习模型，基于趋势分析预测使用情况和成本。

多云管理还没有广泛接受的定义，因此，产品功能集很混乱。尽管如此，大多数云无关管理软件的供应商都已经到达大致相同的地方，虽然通过不同的方式–通常通过收购和同化。

最全面的云管理软件产品包含五类功能：

• 自动化和编排—针对应用程序和单个VM;
• 安全性，包括身份管理和数据保护/加密;
• 策略治理和合规性，包括审计和服务水平协议指标;
• 性能监控—针对基础设施(计算实例、存储、网络)和应用程序;
• 成本管理—通过资源优化和账单估算

Gartner在其对云管理平台的定义中还增加了服务请求、云目录以及多云迁移和备份，但是很多公司已经有系统来提供这些功能。

知名多云管理工具和提供商

多云管理供应商继续在扩展其功能，以提供最全面的工具。他们通常可以提供集中视图，以显示企业分布式资源，尽管每个供应商都有其优点和缺点。在过去一年中，面对疫情，这个市场仍然充满活力，我们看到很多收购和产品更新。此次疫情加速了很多企业的云计划，并突显了云无关管理软件的重要性。

下面让我们来看看当前多云管理市场中最知名的供应商和产品，按字母顺序排列。这些选项涵盖管理供应商、IT服务管理(ITSM)工具和基础结构即代码选项。
 

作为参考，云安全联盟(CSA)Top Threats工作组发布《云渗透测试手册》，概述如何对公共云环境中托管的系统和服务进行渗透测试。该手册探讨了很多问题，例如如何确定云端渗透测试的范围、如何在共享责任模型中执行这些测试以及云渗透测试用例和问题等方面。

云端渗透测试的独特挑战

云渗透测试不同于普通渗透测试。其中一个区别是，根据具体范围，云渗透测试可能包括与基础托管服务提供商的协调。如果该渗透测试识别出基础托管提供商中的漏洞，则可能需要阻止该提供商以防止攻击者横向移动。这样可以最大程度地减少对其他客户的潜在影响，并将发现的结果通知给提供商。在大型分布式企业中，编排渗透测试的团队需要识别所有受影响的团队，并与他们协调安全流程。

公共云中的渗透测试

CSA手册着重于测试公共云环境中托管的系统和服务。例如，这可能包括托管在公共云IaaS服务中的自定义虚拟机。渗透测试会在支持应用程序的云服务中查找缺陷、常见错误配置和已知漏洞。这不是应用程序级别的测试，或者测试基础IaaS服务的安全性，但都可以分别进行渗透测试。根据IaaS服务中托管的应用程序的不同，应用程序安全性可能是软件供应商的责任-无论是开源的还是商业。企业应该对涉及基础IaaS服务或应用程序的发现结果进行评估，以确定是否应将其报告给支持供应商。

针对共享责任模型的渗透测试

范围界定和共享责任模型也影响企业如何组织云端操作。你可能有OS团队负责某些部分，网络团队负责负载平衡器，身份管理团队负责身份和访问管理等等。这些不同的小组应与云安全团队或卓越云安全中心协作，以确保在IaaS环境中部署必要的安全控制。考虑到这种协调的复杂性，渗透测试可能有助于确定协调和所部署的技术安全控制方面的差距。

分解渗透测试说明

该手册最有价值的贡献可能是云渗透测试用例和问题部分。该手册涵盖常规渗透测试步骤，并在每个步骤中突出显示特定于云端的信息。企业可以将这些步骤用作清单，以评估其公共云环境的配置。

测试用例包括特定步骤，这些步骤描述在哪里寻找特定配置设置，可用于获得环境的最初立足点。当黑客获取访问权限，他们就可以横向移动以最终获得特权升级，从而完全破坏系统的安全性。在渗透测试前，更重要的事情是，在云端范围内部署安全控制。渗透测试可以检查安全控制措施是否得到有效实施，并确定需要额外注意的区域。

（编辑：唐山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!