发布日期:2024-12-30 浏览次数:
今年早些时候,Oracle 和 Red Hat宣布Red Hat OpenShift 已获得 Oracle 云基础设施 (OCI) 的认证和支持。鉴于这两家企业领域的长期巨头在为云更新的旧式工作负载中占据着基础地位,它们携手合作支持客户的 IT 现代化工作也就不足为奇了。现在,Oracle 和 Red Hat 为 OCI 计算虚拟机 (VM) 和裸机实例提供 Red Hat OpenShift 的认证配置,Red Hat OpenShift 是业界领先的由 Kubernetes 提供支持的混合云应用平台。
云的真正效率和功能优势取决于使用云原生技术。在没有进行云原生转型的情况下急于迁移旧式应用程序,导致许多组织承担了高昂的使用成本。因此,许多企业现在将其工作负载转移至其本地数据中心。现在,许多企业面临的困境是,是否要将应用程序重新架构为云原生应用程序,还是将工作负载移回本地以避免产生大量的云服务提供商成本。Red Hat 和 Oracle 各自解决了这一困境的一部分。Red Hat OpenShift 使云原生转型更加容易,让迁移到云变得不再那么困难。Oracle 提供一套云服务,以多种格式提供,比同行更具成本效益。Red Hat 和 Oracle 携手为大型企业提供了一条可靠的途径,让他们享受云中的真正效率。
对于大型企业来说,这仍然只是故事的一部分。虽然技术在变化,但数据安全和隐私问题始终存在。他们如何保证敏感数据的安全?他们如何遵守其行业或地区的数据保护和隐私法规?而且,考虑到大型企业通常会分阶段迁移到云中,或永久保持混合环境,他们如何在高度复杂的环境中回答这些问题?幸运的是,作为 Oracle 和 Red Hat 的长期技术合作伙伴,Thales 与每家公司合作,为这些问题提供答案,以支持云之旅,无论看起来如何。
由于基于容器的应用程序比传统的静态应用程序运行得更具动态性,许多 DevOps 从业者认为容器的短暂性是防止数据泄露的一道屏障。然而,基于容器的应用程序仍然需要读写持久数据的能力。任何敏感的持久数据都是恶意行为者的目标。在云架构中,这些敏感数据很可能驻留在云提供商环境中 - 即客户无法控制的第三方数据中心。很容易创建驻留在太多孤岛中的数据、违反法规或在使用或信任本机工具时犯错误的可能性很高。
那么,如何解决这个问题呢?任何以数据为中心的安全对话的开始自然都是加密。长期以来,组织一直使用 Thales CipherTrust Transparent Encryption (CTE/透明加密) 来保护其敏感数据免受各种环境中特权用户的攻击。它的好处是可以灵活地保护数据,而无需更改数据库架构或应用程序代码,并且其基于策略的访问控制具有多功能性。Kubernetes 的广泛采用促使 Thales 重新设计 CTE 以支持动态容器环境。
与静态应用程序的生成类似,客户无需更改应用程序代码即可部署 CTE,而CipherTrust Kubernetes 透明加密允许客户通过向 pod 添加基于容器的代理来保护其数据,而无需编码、SDK 或架构更改。CipherTrust Kubernetes 透明加密已在 Red Hat OpenShift 上获得认证,可通过加密、基于进程和用户的访问控制以及数据访问日志记录来保护链接到在 Red Hat OpenShift 上运行的 pod 的持久卷上的机密数据。在 OCI 上运行 Red Hat OpenShift 的大型企业可以运行 CipherTrust Kubernetes 透明加密,以确保其数据安全,无论他们使用哪种存储。客户可以标准化其静态数据安全性,而不是积累大量点解决方案。而且,他们可以保护自己免受与特权用户、服务管理员和简单、老式的人为错误相关的风险。我们不要忘记,共享责任模型是 CSP 的标准做法。 CipherTrust Kubernetes 透明加密为客户提供了保护数据、解决合规性问题以及勾选与共享责任模型相关的所有必要框的工具。
加密只是成功的一半。组织还必须实施企业级密钥管理,以确保只有授权用户才能访问加密数据的密钥,并且无论数据位于何处,密钥都是安全的。实际上,Red Hat OpenShift 用户还将在 OCI 中运行的应用程序中消费 OCI 服务。OCI 的安全第一方法默认会加密所有 OCI 数据。这些密钥需要管理,以符合 PCI DSS 等一系列法规。它们还创建了一个额外的加密孤岛,组织必须将其纳入其整体安全管理策略。虽然 Oracle 通过其 OCI Vault 提供密钥管理,但某些受监管领域的客户需要比 OCI Vault 所能提供的更高级别的分离。这并不是对 OCI Vault 或任何 OCI 安全功能的指控。相反,这些要求植根于职责分离的基本审计原则:任何人都不应该同时访问加密数据和他们的密钥。为此,Thales与 Oracle 合作开发了 OCI Vault EKMS 服务,通过使用Thales的 CipherTrust 云密钥管理来实现必要的职责分离。使用 OCI 服务的 Red Het OpenShift 用户将能够使用相同的 CipherTrust Manager 来管理他们的加密密钥,该管理器保护其基于容器的应用程序中证书和加密密钥,最终简化整个生命周期内加密密钥的管理,包括生成、备份/恢复、集群、停用和删除。
这听起来像是一个抽象的问题,但如果您计算由构成生产级、企业级应用程序的应用程序、数据库、文件和对象存储服务生成的密钥数量,您很快就会发现手动管理不是一个可行的选择——尤其是当您考虑到轮换操作和审计等需求时。加密密钥孤岛是一个非常现实的挑战,它耗费大型企业的时间、金钱和精力。更不用说,如果做得不好,就会带来严重的安全漏洞。
保护允许访问受保护数据的凭证与应用加密本身同样重要。在云原生领域,开发人员还必须应对试图滥用授予特定容器或进程的授权访问权限进行未经授权活动的用户。在云原生世界中,凭证和密钥(用于容器、API、令牌)比比皆是。如果不加以控制,这些机密的扩散将变得难以管理,并成为一个真正的安全漏洞。如果不保护它们,未经授权的用户可以利用它们以及它们授予的访问权限来访问敏感数据 - 即使数据已加密。
集中和监控这些机密与确保正确的加密密钥管理同样重要。通过控制开发人员所需的机密,组织可以建立信任,确保其应用程序不会留下未经授权的用户可以利用的开放通道来破坏组织。Thales 通过与 Akeyless 合作,保护和自动化跨工具和云工作负载对机密的访问,以确保使用 CipherTrust Secrets Management ( CSM/机密管理 ) 动态安全地访问证书、API 密钥和令牌等凭证。CSM 还通过可扩展的即服务部署,在混合多云环境中实现全面的机密管理,包括静态机密、动态机密、机密轮换、SSH 密钥管理、审计和分析。
IT 安全团队需要管理很多事情,开发人员需要将很多事情纳入他们的DevSecOps实践中。通过与 Red Hat 合作,Thales 正试图减轻这种工作量。集中密钥管理可以节省时间和金钱。CipherTrust Kubernetes 透明加密的基于容器的架构使其更易于部署。此外,Thales CipherTrust Ansible 系列允许客户更快、更高效地执行配置。
总而言之,Thales与 Oracle 和 Red Hat 的合作提高了大型企业采用 DevSecOps 实践和向云转型的能力。Thales的CipherTrust Data Security Platform(CDSP/数据安全平台)可轻松插入现有的 Red Hat OpenShift 和 OCI 环境,帮助 DevOps 团队保护其数据并更有效地在任何地方管理其安全性。通过这样做,它还可以支持客户满足数据主权要求,这些要求会影响他们是否、何时以及如何采用基于云的技术。通过将加密密钥存储在ThalesCipherTrust Manager中并将这些密钥放置在他们选择的管辖范围内,无论他们最近的 OCI 数据中心位于何处,他们都可以继续控制他们的数据并遵守主权规则。
当合规性和数据安全不再成为关注点时,组织就会加快采用基于云的技术。Thales能够保护 Red Hat OpenShift 上的敏感数据,并为 OCI 服务提供客户控制,这使大型企业能够进行数字化转型,从而最大限度地发挥云的优势。由于云是采用 AI 等下一代激动人心的技术的基本要求,因此加速采用云也意味着加速盈利增长。
阅读此处的解决方案简介,了解有关 Thales CipherTrust 解决方案如何与 Oracle 云基础设施和 Red Hat OpenShift 协同工作以保护敏感数据的更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
