[[228138]]

在一些行業(yè)文章中，闡述了IT領(lǐng)導(dǎo)者需要了解的四項混合云安全基礎(chǔ)知識，以下進行一下回顧：

•傳統(tǒng)的周邊安全方法是不夠的

•組織面臨的威脅面是分布式的

•組織需要更新的安全工具和實踐

•組織與云計算提供商分擔(dān)風(fēng)險

現(xiàn)在來深入探討如何調(diào)整企業(yè)的安全策略，并考慮有關(guān)解決這四項混合云安全基礎(chǔ)知識的專家建議以及相關(guān)問題。

1.將正確的工作負(fù)載與正確的環(huán)境相匹配

混合云基礎(chǔ)設(shè)施最大的吸引力之一是其靈活性和可擴展性。首席信息官們可以更好地控制他們的數(shù)據(jù)，更快地擴大業(yè)務(wù)需求，并改進業(yè)務(wù)，優(yōu)化成本。

企業(yè)的混合云安全策略也應(yīng)該如此：決定哪個環(huán)境適合哪些數(shù)據(jù)。不要讓與不同數(shù)據(jù)相關(guān)的風(fēng)險成為事后考慮。

“‘云優(yōu)先'并不意味著云計算是唯一的選擇。”SAS公司首席信息安全官Brian Wilson說，“有些業(yè)務(wù)可以保留在內(nèi)部部署的數(shù)據(jù)中心運營。”他指出，其決定因素包括數(shù)據(jù)類型、數(shù)據(jù)量和數(shù)據(jù)訪問需求。

“為確保企業(yè)的特定安全需求與所選環(huán)境中為其提供的安全功能相匹配，請將正確的工作負(fù)載與正確的云計算環(huán)境相匹配。”Flexential公司首席產(chǎn)品官員Michael Fuhrman說。

這需要企業(yè)深入了解供應(yīng)商的能力，以確保滿足企業(yè)的特定要求。SAS公司的Wilson例舉了SAML(安全斷言標(biāo)記語言)的一個例子，并闡述了他對云計算提供商的要求：

“如果不能與SAML聯(lián)合，那么我們就不會和客戶開展業(yè)務(wù)。”Wilson說，“客戶不希望提供管理憑據(jù)，或在個人離開時在多個地方禁用賬戶。”

2.從外圍防御演變?yōu)樯矸莨芾?br />
由于傳統(tǒng)的邊界模糊，安全專家建議將焦點從“邊界”轉(zhuǎn)移到“身份”。

Cyxtera公司副總裁David Emerson說：“在企業(yè)采用混合云時，最有用的安全策略是重新定義包含身份的周圍邊界，其身份比以往任何時候都更加重要，應(yīng)該使用多種因素來確保其準(zhǔn)確，并精確地用于整個企業(yè)中，以及眾多基礎(chǔ)設(shè)施中授予系統(tǒng)訪問權(quán)限。”

像這樣的長期安全原則仍然適用于此，并且在混合環(huán)境中具有新的重要性：個人應(yīng)該只能訪問他們完成工作所需的數(shù)據(jù)、特權(quán)和環(huán)境。除此之外的任何事情都會帶來不必要的風(fēng)險。

瞻博網(wǎng)絡(luò)公司全球安全戰(zhàn)略總監(jiān)Laurence Pitt也指出身份和訪問管理(IAM)是強大的混合云安全的關(guān)鍵戰(zhàn)略之一。

Pitt說，“企業(yè)需要了解誰在訪問系統(tǒng)和數(shù)據(jù)，應(yīng)該建立用戶身份訪問管理，使用云應(yīng)用程序安全代理(CASB)控制應(yīng)用程序訪問，以及雙因素身份驗證。需要隨時隨地訪問，重要的是要迅速警惕異常活動，以減少數(shù)據(jù)泄露的風(fēng)險。”

這并不是說企業(yè)的傳統(tǒng)內(nèi)部安全工具需要丟棄，與其相反，企業(yè)將需要一個新的組合。專家還通常建議將單點登錄(SSO)作為企業(yè)身份認(rèn)證的一部分。上述SAML是啟用SSO的一種方式。

SAS公司的Wilson解析了混合云和多云環(huán)境的好處：“SAML將客戶的數(shù)據(jù)處于控制之中，這取決于他們。”Wilson說，“作為客戶，負(fù)責(zé)通知有權(quán)做什么和什么時候被授權(quán)的云服務(wù)提供商。提供準(zhǔn)確的信息需要企業(yè)擁有穩(wěn)固的身份、賬戶管理和治理策略。“

3.確?？梢娦院退袡?quán)

另一個關(guān)鍵策略：制定工具和策略，確保企業(yè)可以全方位地了解混合基礎(chǔ)設(shè)施。 Radware公司運營商戰(zhàn)略和業(yè)務(wù)發(fā)展副總裁Mike O'Malley稱，“如果企業(yè)的混合云采用引入盲點，那么這些都是漏洞，或者是云中潛在的漏洞”。

“為了確?；旌显骗h(huán)境中的安全性，IT領(lǐng)導(dǎo)者需要獲得整個網(wǎng)絡(luò)的完全可見性以及統(tǒng)一的解決方案，可以在不同的環(huán)境中實施安全策略。”O'Malley說。

所有資產(chǎn)和環(huán)境的所有權(quán)至關(guān)重要。瞻博網(wǎng)絡(luò)公司的Pitt說，“每個資產(chǎn)都必須有一個指定的所有者，其職責(zé)可以分開。例如，一個團隊可以負(fù)責(zé)服務(wù)器平臺，另一個團隊負(fù)責(zé)確保操作系統(tǒng)補丁程序的合規(guī)性，但如果沒有明確的所有權(quán)，則可能無法應(yīng)對這些風(fēng)險。”

4.考慮必要的技術(shù)和文化轉(zhuǎn)變

Cavirin公司工程副總裁Brajesh Goyal指出，自動化是加強安全性技術(shù)戰(zhàn)略的一個很好的例子。它為幫助確保混合云以及合作伙伴容器的分布式和不斷變化的本質(zhì)提供了巨大潛力。

但混合云安全性可能取決于文化轉(zhuǎn)變與技術(shù)變化。如果安全性是流水線和流程中的最后步驟或攻擊事件發(fā)生后才采取的措施，那么企業(yè)應(yīng)該研究如何促進將安全性納入業(yè)務(wù)運營中。就像軟件開發(fā)流程一樣，自動化和云原生安全技術(shù)需要做的很好。

對于一些組織來說，這從DevOps開始。Goyal說：“在理想情況下，組織應(yīng)采用新工具，通過自動化促進云計算最佳實踐，并通過持續(xù)安全模式促進DevSecOps文化的轉(zhuǎn)變。”

Red Hat公司首席安全架構(gòu)師Mike Bursell表示，不要低估與DevSecOps相關(guān)的文化變革，并將安全性納入早期工作階段。他寫道，安全人員和其他工作人員之間存在文化鴻溝。 “安全人員知道對于攻擊事件應(yīng)該如何處理是安全的。他們已經(jīng)接受了培訓(xùn)，他們參加會議，閱讀文章，具有豐富的經(jīng)驗，所有這些舉措都非常明確：一切都必須安全。安全通常意味著‘關(guān)閉'，特別是如果安全人員沒有充分參與設(shè)計、實現(xiàn)和操作過程的話。”

他說，“另一方面，其他人通常只想讓事情發(fā)揮作用。這兩種觀點之間存在根本的不同，除非安全是任何項目從開始到結(jié)束的最高要求。”

5.實施一次徹底的(也許是逾期的)審計

這里有一個普遍的主題，值得一提的是：混合云可以改善企業(yè)的安全狀況。當(dāng)然，這不會自動發(fā)生。

但是，這是一個良好開端：采用混合云基礎(chǔ)設(shè)施是徹底改變安全工具和實踐的很好借口，無論如何，這些安全工具和實踐可能已經(jīng)過期。而需要將安全視為企業(yè)采用混合云策略的一個內(nèi)置組件。

“遷移到云端對企業(yè)來說是一個機會，可以審查安全實踐。并實施新的或先進的服務(wù)，以改善企業(yè)的性能和狀態(tài)。”Pitt說，“許多企業(yè)多年來一直使用相同的工具，并且云采用為未來著眼于審查功能和配置提供了機會。” 

【編輯推薦】