公共云的自助服务提供模式带来了许多好处，但当然也破坏了传统的IT服务器配置模式。现在，开发人员可以通过信用卡自行分配资源，企业安全团队也为他们的工作做了切实的工作。

　　IT安全团队如何使其组织能够利用云计算的灵活性和几乎无限的规模，同时保持对企业IT和数据的控制?本文探讨企业在实施混合云的安全策略时面临的挑战，以及Bracket计算(B-CBC)提供的体系结构解决方案。

　　混合云的挑战

　　企业在采用混合云环境时遇到三大挑战：

　　首先，混合云意味着混合的复杂性。云计算服务提供商产品的异质性为试图解决和执行同一套安全策略的团队带来了巨大的复杂性。代理和虚拟设备可能难以管理，分割规则可能会造成流量堵塞或允许太多的参与者。数据和工作负载可移植性会增加这些风险，如人为错误增加的可能性(例如，无意中公开存储的数据)。

　　对于没有监管约束和环境的小公司来说，这种复杂性可以减轻。但对于需要一致的密钥管理(跨云，也可以在单个提供商中的多个区域)或独立于基础架构提供商的IT组织来说，这种复杂性难以克服。

　　其次，保护是不完整的。在数据中心，身份访问，网络和存储的安全策略通常与基础架构相关。使用与IP地址绑定的VLAN，子网和ACL实现网络策略。保护资产通常依赖于限制对存储硬件的网络访问，而不是保护数据本身。但随着数据中心变得越来越混杂，企业失去对基础设施的控制，外围和网络防御措施就变得不足够了。微分段提供额外的保护，但网络只是企业工作负载的一部分。

　　在没有物理控制的情况下，IT安全需要找到其他方式来对部署在云上的工作负载进行逻辑控制。

　　第三，确保透明、可证明的控制是一件头痛的事。采用混合云扩展了审计范围，因为IT必须管理各种安全态势。在多个环境中建立可见性和验证控制是困难的，IT了解数据访问的方式和位置有限。

　　此外，对于受特定监管关注的公司(例如HIPAA)，供应商提供的加密通常会引起行业的反对。在大多数审计中，对数据的验证控制是必不可少的，但在混合云上很难保证。

　　最后，在不破坏云的自助服务模式的情况下，保持IT和开发组织之间的职责分离是困难的。IT安全必须提供严格的控制隔离，干扰开发人员自助服务采购以保护资源，或者在开发团队中实现敏捷性，但风险由配置基础架构资源的团队关闭。

　　透明的云安全

　　Bracket计算提供全面的工作负载隔离软件，旨在解决这些挑战，并使企业能够通过一套先进的IT安全控件在混合云环境中安全地运行工作负载。Bracket提供加密的微分割，其中包括使用客户控制的密钥，数据和运行时完整性监控的静态数据和运动数据的永久加密，以及在违规时捕获内存的可审计性和取证功能。

　　Bracket计算适用于本地VMware云端，以及Amazon Web Services，Microsoft Azure和谷歌云平台。Bracket解决方案的执行机制是一个称为Metavisor的轻量级虚拟化层，不仅提供对网络，存储和计算的精细控制，而且可以透明地插入和审核这些保护服务，而不会对开发人员或数据中心运营团队产生任何影响。

　　Bracket架构由以下四个属性定义：

　　(1)通过轻量级虚拟化透明地提供安全性

　　安全策略应在云环境中透明实施。正如用户在浏览器中不知道TLS / SSL一样，开发人员不应该注意到工作中的安全性。使用虚拟化来强制实施策略可以提供这种优势，不像可能配置错误的代理和虚拟设备，会导致性能损失，被访问主机的恶意软件关闭，或创建阻塞点。

　　Bracket开发的轻型虚拟化技术(称为Metavisor)不是依赖于传统的传递方式，而是透明地提供控件，而无需对客户机操作系统或应用程序进行任何修改。在客户操作系统和云管理程序之间运行，Metavisor仅虚拟化I / O，而不是整个工作负载。这样就可以在应用程序执行过程中脱颖而出。但是当对存储系统或网络进行呼叫时，Metavisor拦截这个呼叫，进入安全服务。这允许生产工作负载安全运行，没有显著的性能损失。

　　因为Metavisor驻留在与客户机操作系统不同的内存空间中，它提供了基于网络的解决方案的透明度和不变性，同时利用与主机的一对一关系。

　　(2)安全性适用于完整的工作负载，而不是基础设施

　　Bracket允许企业根据与资源(无论是数据，网络链接还是实例)相关联的Bracket标签来编写微分段和计算策略。标签已经在AWS和其他云平台上使用，因此使用Bracket标签适合现有的云工作流程。

　　如果这些标签被复制或移动，它们将保留资产。写在标签上的策略的一个例子可能是

　　标记为‘dev’的环境只能与标记为‘dev’的其他环境进行通信。

　　这样写，策略可以像上述一样，也可以是非常细微的，用于控制特定端口，数据库主机或卷。这为IT安全性提供了策略支持，可以在没有物理控制的情况下对工作负载进行逻辑控制，而不会中断开发人员的工作流程。

　　(3)安全性是基于标签进行加密

　　在静止和移动中加密数据始终处于开启状态。一旦资源被标记，Bracket使用Metavisor来加密地执行与这些标签相关联的任何策略。Bracket管理和传递策略允许的加密密钥，并包括解密磁盘或对象，引导实例或与邻居通话的功能。当请求密钥时，将检查策略，并将密钥释放给Metavisor，Metavisor将实现相应的策略并允许访问数据。这样可以实现自动化，无差错的策略执行，而不必妨碍开发人员或改变其工作流程，这将带来更多的好处。

　　在任何环境中，特别是在混合云环境中，它必须处理恶意软件、恶意内部人员和错误的风险。加密强制政策保护企业免受威胁，满足金融服务、医疗保健和其他大型企业的监管要求。

　　(4)安全性是跨环境一致实现的

　　IT组织不会异构配置本地环境，例如，在一个数据中心中独占使用Cisco防火墙，另外两个数据中心使用Check Point和Palo Alto Networks产品。然而，企业管理多套控制措施来跨混合环境实施安全策略。这产生的并发症不仅造成人为错误和风险增加，而且使审计困难。

　　Bracket的解决方案使得企业控制能够在开发人员工作的每个地方得到贯彻执行，从而最大限度地降低IT运营开销，并允许将整个企业系统的可见性，NetFlow和数据访问日志整合到企业审核流程中。

　　由于企业的灵活性和规模化需求，混合云的采用将继续增长。如果没有能力跨环境执行单一的控制措施，IT安全团队将不得不面对严重的复杂性和合规性问题。

　　通过全面的工作负载隔离解决方案(如Bracket)，安全性可以确保基于云计算的解决方案的可扩展性，基于代理解决方案的基于主机的场景，以及虚拟设备的平面网络吸引力。它是一种允许企业利用混合云，强化IT控制而不中断开发人员工作流的体系结构。