安全專(zhuān)家表示，隨著多云環(huán)境的發(fā)展，已經(jīng)推出了許多安全實(shí)踐，并且組織在制定自己的安全策略時(shí)都應(yīng)采取一些關(guān)鍵步驟。數(shù)據(jù)泄露或入侵者警報(bào)將使組織安全團(tuán)隊(duì)高度緊張，因?yàn)樗麄冎铝τ谧柚箵p害并確定原因。

即使IT團(tuán)隊(duì)在其自己的基礎(chǔ)設(shè)施上運(yùn)行所有操作，其應(yīng)對(duì)大量的任務(wù)也面臨更多的挑戰(zhàn)。隨著組織將更多的工作負(fù)載遷移到云平臺(tái)，然后采用多個(gè)云計(jì)算提供商的服務(wù)，這將變得越來(lái)越復(fù)雜。

云計(jì)算服務(wù)提供商RightScale公司發(fā)布的“2018年云計(jì)算狀態(tài)報(bào)告”表明，997名科技專(zhuān)業(yè)人士中有77%的人認(rèn)為云安全是一項(xiàng)挑戰(zhàn)，29%的人表示這是一項(xiàng)重大挑戰(zhàn)。

安全專(zhuān)家表示，他們對(duì)此并不感到驚訝，特別是考慮到RightScale公司的調(diào)查受訪(fǎng)者中81%的人采用的是多云戰(zhàn)略。

“多云環(huán)境增加了實(shí)施和管理安全控制的復(fù)雜性，”管理咨詢(xún)機(jī)構(gòu)Protiviti公司的技術(shù)咨詢(xún)業(yè)務(wù)總經(jīng)理兼全球負(fù)責(zé)人Ron Lefferts說(shuō)。

他和其他安全領(lǐng)導(dǎo)人表示，組織在將更多工作負(fù)載遷移到云時(shí)，可以將安全放在首位。

多云面臨的安全挑戰(zhàn)

但人們也應(yīng)該認(rèn)識(shí)到多云環(huán)境帶來(lái)了額外的挑戰(zhàn)，需要作為整體安全戰(zhàn)略的一部分加以解決。

“在這個(gè)多云的世界里，一切都與協(xié)調(diào)有關(guān)，在合同、技術(shù)和人員方面都是如此?！眹?guó)際安全咨詢(xún)委員會(huì)(ISACA)董事會(huì)主席Christos K. Dimitriadis說(shuō)，“現(xiàn)在，如果發(fā)生事故，企業(yè)需要確保所有實(shí)體都得到協(xié)調(diào)，共同努力確定違規(guī)行為進(jìn)行分析，并制定改進(jìn)計(jì)劃，以使控制更加有效。”

以下是安全專(zhuān)家稱(chēng)為多云環(huán)境復(fù)雜安全策略的三個(gè)因素。

(1)復(fù)雜性增加。在多個(gè)云計(jì)算提供商之間協(xié)調(diào)安全策略、流程和響應(yīng)以及擴(kuò)展的連接點(diǎn)網(wǎng)絡(luò)增加了復(fù)雜性。

非營(yíng)利性貿(mào)易組織云安全聯(lián)盟(CSA)的ERP安全工作組的研究員兼聯(lián)合主席Juan Perez-Etchegoyen說(shuō)，“組織可以在全球多個(gè)地方擴(kuò)展其數(shù)據(jù)中心。然后必須遵守其所在國(guó)家或地區(qū)的法規(guī)，如今擁有龐大且數(shù)量不斷增加的法規(guī)，這些法規(guī)正在推動(dòng)組織需要實(shí)施的控制和機(jī)制，并且所有這些都增加了人們保護(hù)數(shù)據(jù)的復(fù)雜性?！?/p>

(2)缺乏可見(jiàn)性。IT組織通常不了解員工使用的所有云計(jì)算服務(wù)，員工可以輕松地繞過(guò)企業(yè)IT部門(mén)自行購(gòu)買(mǎi)軟件即服務(wù)產(chǎn)品或其他基于云計(jì)算的服務(wù)。

“因此，人們正試圖保護(hù)數(shù)據(jù)、服務(wù)、業(yè)務(wù)，而不清楚地了解數(shù)據(jù)的位置?！盌imitriadis說(shuō)。

(3)新的威脅。安全風(fēng)險(xiǎn)管理公司的創(chuàng)始人兼首席執(zhí)行官Jeff Spivey說(shuō)，企業(yè)安全領(lǐng)導(dǎo)者也應(yīng)該認(rèn)識(shí)到，多云環(huán)境的出現(xiàn)可能會(huì)產(chǎn)生新的威脅。

“人們正在創(chuàng)造一些尚不了解所有漏洞的東西，但可能會(huì)發(fā)現(xiàn)這些漏洞?！彼f(shuō)。

構(gòu)建多云策略

安全專(zhuān)家表示，隨著多云環(huán)境的發(fā)展，出現(xiàn)了許多安全最佳實(shí)踐，并且組織在制定自己的安全策略時(shí)都應(yīng)采取一些關(guān)鍵步驟。

首先是識(shí)別數(shù)據(jù)所在的所有云平臺(tái)，并確保組織擁有一個(gè)強(qiáng)大的數(shù)據(jù)治理計(jì)劃，“組織需要全面了解數(shù)據(jù)，以及與信息相關(guān)的IT服務(wù)和資產(chǎn)?！盌imitriadissays說(shuō)。

Dimitriadis除了擔(dān)任ISACA董事會(huì)主席之外，還是游戲解決方案供應(yīng)商和運(yùn)營(yíng)商INTRALOT 集團(tuán)的信息安全、信息合規(guī)和知識(shí)產(chǎn)權(quán)保護(hù)負(fù)責(zé)人，他們承認(rèn)這些安全建議不僅適用于多云環(huán)境。

然而，他表示，當(dāng)數(shù)據(jù)遷移到云平臺(tái)，并在不同的云平臺(tái)上傳播時(shí)，采取這些基礎(chǔ)措施變得更加重要。

統(tǒng)計(jì)數(shù)據(jù)表明了為什么擁有強(qiáng)大的安全基礎(chǔ)如此重要的原因：畢馬威公司和Oracle公司發(fā)布的2018年云計(jì)算威脅報(bào)告對(duì)450名網(wǎng)絡(luò)安全和IT專(zhuān)業(yè)人員進(jìn)行了調(diào)查。報(bào)告表明90%的企業(yè)將其基于云計(jì)算的數(shù)據(jù)的一半歸類(lèi)為敏感數(shù)據(jù)。

該報(bào)告還發(fā)現(xiàn)，82%的受訪(fǎng)者擔(dān)心組織的員工不遵守云計(jì)算安全策略，38%的受訪(fǎng)者擔(dān)心檢測(cè)和響應(yīng)云計(jì)算安全事件。

國(guó)際安全咨詢(xún)委員會(huì)(ISACA)領(lǐng)導(dǎo)者，賽門(mén)鐵克公司首席技術(shù)官兼企業(yè)策略傳播者Ramsés Gallego表示，為了應(yīng)對(duì)這種情況，企業(yè)應(yīng)該對(duì)信息進(jìn)行分類(lèi)，以創(chuàng)建安全的平流層，這一措施認(rèn)識(shí)到并非所有數(shù)據(jù)都需要相同級(jí)別的信任和驗(yàn)證才能訪(fǎng)問(wèn)或鎖定。

安全專(zhuān)家還建議企業(yè)實(shí)施其他傳統(tǒng)安全措施，作為保護(hù)多云環(huán)境的必要基礎(chǔ)層。除了數(shù)據(jù)分類(lèi)策略外，Gallego還建議使用加密和身份和訪(fǎng)問(wèn)管理(IAM)解決方案，例如雙因素身份驗(yàn)證。

畢馬威公司新興技術(shù)風(fēng)險(xiǎn)服務(wù)實(shí)踐的合伙人Sailesh Gadia說(shuō)，企業(yè)隨后需要標(biāo)準(zhǔn)化其政策和架構(gòu)，以確保一致的應(yīng)用和自動(dòng)化，以盡可能幫助限制偏離這些安全標(biāo)準(zhǔn)。

“企業(yè)投入的努力水平應(yīng)取決于數(shù)據(jù)的風(fēng)險(xiǎn)和敏感性。因此，如果企業(yè)使用云平臺(tái)進(jìn)行非機(jī)密數(shù)據(jù)存儲(chǔ)/處理，那么就不需要采用更高級(jí)別的安全方法?！盙adia說(shuō)。

他還指出，標(biāo)準(zhǔn)化和自動(dòng)化可以提高效率，這不僅可以降低總成本，還可以讓安全領(lǐng)導(dǎo)者將更多資源用于更高價(jià)值的任務(wù)。

專(zhuān)家表示，這些基本要素應(yīng)該是更廣泛、更有凝聚力的戰(zhàn)略的一部分，并指出企業(yè)在采用管理安全工作的框架時(shí)表現(xiàn)良好。其共同框架包括國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所的NIST;ISACA信息相關(guān)技術(shù)控制目標(biāo)(COBIT);ISO 27000系列;云安全聯(lián)盟的云控制矩陣(CCM)。

設(shè)定云計(jì)算供應(yīng)商的期望

Dimitriadis說(shuō)，所選擇的框架不僅應(yīng)該指導(dǎo)企業(yè)，還應(yīng)該指導(dǎo)云計(jì)算供應(yīng)商。

“我們需要做的是將這些納入與云計(jì)算提供商的協(xié)議中。然后，企業(yè)能夠圍繞其試圖保護(hù)的數(shù)據(jù)和服務(wù)構(gòu)建控制措施?！彼忉尩?。

安全專(zhuān)家表示，與云計(jì)算提供商的談判以及隨后的服務(wù)協(xié)議應(yīng)解決提供的數(shù)據(jù)隔離類(lèi)型、數(shù)據(jù)存儲(chǔ)以及供應(yīng)商方可以訪(fǎng)問(wèn)的數(shù)據(jù)，以及供應(yīng)商如果出現(xiàn)問(wèn)題應(yīng)如何應(yīng)對(duì)，其中包括他們將如何與為企業(yè)提供服務(wù)的其他云計(jì)算供應(yīng)商合作和協(xié)調(diào)。

Jeff Spivey表示，組織必須清楚地了解從每個(gè)云計(jì)算提供商那里獲得的服務(wù)，以及他們是否具備管理和管理服務(wù)的能力。

Spivey補(bǔ)充道，“組織要具體說(shuō)明期望是什么以及如何衡量它們，因此必須清楚地了解從每個(gè)提供商處獲得的服務(wù)，以及他們是否具備管理和服務(wù)的能力。”

但Gallego表示，不要提供給云計(jì)算提供商過(guò)多的安全權(quán)限。

云計(jì)算供應(yīng)商通常通過(guò)強(qiáng)調(diào)他們代表企業(yè)客戶(hù)所做的工作來(lái)提供他們的服務(wù)。雖然這項(xiàng)工作確實(shí)包括安全服務(wù)，但Gallego指出，“這還不夠，因?yàn)樵朴?jì)算供應(yīng)商從事云計(jì)算業(yè)務(wù)，而不是從事安全業(yè)務(wù)?！?/p>

因此，他表示，企業(yè)安全領(lǐng)導(dǎo)者必須將他們的安全計(jì)劃制定到一個(gè)精細(xì)的層面——“誰(shuí)有權(quán)訪(fǎng)問(wèn)何時(shí)以及如何訪(fǎng)問(wèn)”，然后將其提供給每個(gè)云計(jì)算提供商以協(xié)助執(zhí)行這些計(jì)劃。

他補(bǔ)充說(shuō)：“云計(jì)算提供商需要贏(yíng)得用戶(hù)的信任。”

采用新興技術(shù)

根據(jù)安全專(zhuān)家的說(shuō)法，政策、治理甚至傳統(tǒng)的安全措施(如雙因素身份驗(yàn)證)雖然都是必不可少的，但還不足以應(yīng)對(duì)跨多個(gè)云平臺(tái)分散工作負(fù)載所帶來(lái)的復(fù)雜性。

企業(yè)必須采用旨在使企業(yè)安全團(tuán)隊(duì)更好地管理和實(shí)施其多云安全策略的新興技術(shù)。

Gallego和其他人指出了云計(jì)算訪(fǎng)問(wèn)安全代理(CASB)等解決方案，企業(yè)在其自身與云計(jì)算服務(wù)提供商之間提供本地軟件，以整合和實(shí)施安全措施，如身份驗(yàn)證、憑據(jù)映射、設(shè)備配置、加密和惡意軟件檢測(cè)。

他們還列出了人工智能技術(shù)，這些技術(shù)可以從中學(xué)習(xí)，然后分析網(wǎng)絡(luò)流量，以更加準(zhǔn)確地檢測(cè)需要工作人員關(guān)注的異常，從而限制資源必須調(diào)查的良性事件的數(shù)量，并將這些資源重定向到最有可能出現(xiàn)問(wèn)題的事件。

他們引用了繼續(xù)使用自動(dòng)化作為優(yōu)化多云環(huán)境中安全性的關(guān)鍵技術(shù)。Spivey指出：“那些取得成功的組織就是那些能夠自動(dòng)完成大部分工作并專(zhuān)注于治理和管理的組織?！?/p>

此外，Spivey和其他人表示，雖然用于保護(hù)數(shù)據(jù)跨越多個(gè)云平臺(tái)的確切技術(shù)(如CASB)可能是多云環(huán)境所獨(dú)有的，但他們強(qiáng)調(diào)總體安全原則遵循的是解決人員、過(guò)程和技術(shù)問(wèn)題的長(zhǎng)期方法制定最佳策略。

“人們正在談?wù)摬煌募夹g(shù)和不同的場(chǎng)景，并更多地關(guān)注數(shù)據(jù)，但這與組織必須實(shí)現(xiàn)的概念相同?！監(jiān)napsis公司首席技術(shù)官的Perez-Etchegoyen說(shuō)，“對(duì)于多云環(huán)境，技術(shù)方法雖然有所不同，但總體戰(zhàn)略將是相同的?！?/p>