信息化觀察網(wǎng)

如果說安全性的敵人是復雜性，那么混合云無疑會帶來一個更強大的敵人。專家們在這里就如何應對混合云環(huán)境的挑戰(zhàn)提供了一些建議和參考。

調(diào)查顯示，目前幾乎所有的企業(yè)都在使用多家云提供商和大量基于云的解決方案。也就是說企業(yè)IT已經(jīng)接受了混合云模型。

分析公司IDC預計，到2022年，全球90%以上的企業(yè)將擁有多個公有云。據(jù)IT管理解決方案提供商Flexera發(fā)布的《2020年云現(xiàn)狀報告》顯示，93%的企業(yè)部署了混合云戰(zhàn)略，這一百分比高于兩年前的81%。目前受訪者平均使用的公有云和私有云均為2.2個。

但是傳統(tǒng)企業(yè)中公有云和私有云以及SaaS應用程序越來越多的組合也帶來了許多安全問題。在Flexera的調(diào)查中，約83％的企業(yè)將安全性列為挑戰(zhàn)，高于對云支出的管理（82％）和治理（79％）。

咨詢公司Protiviti的新興技術(shù)和全球云實踐主管Randy Armknecht說：“混合云給安全團隊帶來的挑戰(zhàn)正在持續(xù)增長。服務(wù)的發(fā)布數(shù)量、新的交互方式、服務(wù)與系統(tǒng)的互連，所有的這些都在不斷發(fā)展，同時也為企業(yè)安全模型增加了新的復雜性。”

混合云環(huán)境的安全性被高度關(guān)注并不意外。因為首席信息安全官們已經(jīng)意識到他們需要保護的范圍已經(jīng)從企業(yè)內(nèi)部的基礎(chǔ)設(shè)施變成了分布在不同廠商中的計算資源網(wǎng)。要命的是，這些廠商提供的服務(wù)級別和安全承諾各不相同。這種環(huán)境為惡意軟件攻擊、數(shù)據(jù)泄露、違規(guī)和彈性問題帶來了更多的漏洞。畢馬威（KPMG）技術(shù)風險實踐業(yè)務(wù)的合伙人Sai Gadia說，混合云架構(gòu)的復雜性正在成為一種攻擊向量。“如果傳統(tǒng)的人員、流程或技術(shù)中存在漏洞，那么不法分子就會尋求機會利用這些漏洞。”

復雜性越來越高

技術(shù)供應商Blissfully在《2020年SaaS趨勢報告》中指出，目前傳統(tǒng)的企業(yè)IT基礎(chǔ)設(shè)施和解決方案堆棧不僅包括了公有云和私有云部署，還包括了大量不同的SaaS產(chǎn)品（平均數(shù)量為288種）。

不同構(gòu)成要素有著不同的安全要求，內(nèi)置的安全功能的級別和類型也各不相同。各家云提供商使用工具也不盡相同，即便是同一類工具，他們的術(shù)語往往也不一樣。此外，這些云提供商在安全方面的責任也是不同的。所有這些都迫使首席信息安全官不得不將它們整合為一個整體，以記錄云服務(wù)的安全功能是否夠用，是否需要更多的安全性，以及在何處需要什么樣的額外安全措施。

451 Research負責信息安全渠道的高級研究分析師Garrett Bekker說：“我們通常認為云服務(wù)可以讓我們的生活變得更簡單，并且它們可以通過多種方式實現(xiàn)，可以為我們提供很多好處。但是從安全的角度來看，由于它們要做的事情太多，因此也增加了很多復雜性。”

在甲骨文和畢馬威（KPMG）的《2020年云威脅報告》中，受訪者認為復雜性是一項重大挑戰(zhàn)。其中，70％的受訪者認為保護其公有云足跡需要太多的專用工具，78％的受訪者則指出，在云端駐留和本地應用程序之間需要在不同的安全策略和流程。

這些問題又帶來了另一個我們熟悉的安全問題：缺乏可見性。

Security Curve的創(chuàng)始合伙人兼ISACA（國際信息系統(tǒng)審計協(xié)會）混合云環(huán)境安全影響管理團隊的首席開發(fā)者Ed Moyle指出：“用戶難以從各家提供商那里獲得所有的不同信息，以確定統(tǒng)一的管理視角。”

Very Good Security的首席信息安全官Kathy Wang稱，可見性挑戰(zhàn)來自多個層面。例如，企業(yè)安全團隊無法深入了解企業(yè)的所有云部署（尤其是那些由業(yè)務(wù)部門直接購買的SaaS產(chǎn)品）。即使這樣做了，他們也仍然難以監(jiān)控所有的云部署并從中發(fā)現(xiàn)問題。另外，對事件管理工具的數(shù)據(jù)進行編譯和解讀也是一件非常困難的事情。

制定策略

制定混合云安全策略首先要確定企業(yè)使用的所有云，確保企業(yè)擁有強大的數(shù)據(jù)治理程序以指導與云相關(guān)的安全決策，以及在正確的位置部署正確的工具，從而確保控制級別適當。

在《混合云環(huán)境安全性影響管理》報告中，ISACA指出，“要想讓多家提供商都能發(fā)揮作用，企業(yè)必須調(diào)整他們的工具、流程、監(jiān)控功能、運營思路，以及與安全規(guī)劃相關(guān)的諸多要素。”

Gadia認為目前首席信息安全官正在朝著這個方向發(fā)展。他指出，甲骨文和畢馬威的調(diào)查報告顯示，企業(yè)的云安全架構(gòu)師的數(shù)量要多于安全架構(gòu)師。盡管如此，許多安全團隊還需要進一步增加具備能夠創(chuàng)建安全云架構(gòu)所需全部技能的人員數(shù)量。

以下是增強混合云安全性的三大關(guān)鍵步驟。

關(guān)注應用程序和數(shù)據(jù)

混合云環(huán)境中應用程序安全的重要性不可低估。Micro Focus公司的安全風險與治理主管RamsésGallego說：“如今，依靠強大而可靠的方法來強化和保護應用程序的安全比以往任何時候都更重要。這意味著不僅要確保代碼沒有漏洞，同時還要確保應用程序正在使用的庫被及時更新且沒有漏洞。”

Gallego補充說：“數(shù)據(jù)管理、數(shù)據(jù)最小化以及最重要的數(shù)據(jù)匿名化和加密是企業(yè)要構(gòu)建混合云架構(gòu)的支柱。和土木工程一樣，基礎(chǔ)必須牢固，并且按照一些法規(guī)中要求的那樣，必須要有適當?shù)臄?shù)據(jù)屏蔽和數(shù)據(jù)隱藏策略。”

使用正確的工具

考慮到嵌入在不同云產(chǎn)品中的安全功能的變化，將工具與技術(shù)進行適當組合可以滿足不同企業(yè)的云解決方案組合。首席信息安全官需要明確哪些解決方案在哪里工作，并選擇可以跨越云環(huán)境的解決方案，從而為安全場景創(chuàng)建單一的管理平臺。

專家建議引入云訪問安全代理（CASB），以及可在企業(yè)和云服務(wù)提供商之間強化身份驗證、憑證映射、設(shè)備配置文件、加密和惡意軟件檢測等安全措施的軟件。

此外，專家還建議使用云安全狀態(tài)管理（CSPM）。這是一種更新的技術(shù)，其可根據(jù)安全要求評估企業(yè)云環(huán)境，從而保證云配置能夠持續(xù)滿足相關(guān)的要求與規(guī)定。

非營利性組織云安全聯(lián)盟（CSA）下設(shè)的ERP安全工作組的研究員Juan Perez-Etchegoyen說：“CASB雖然很重要，但是它們的重點是SaaS。相比之下，CSPM則更為全面地專注于所有云服務(wù)模型（IaaS、PaaS、SaaS）。”

增強安全性

安全領(lǐng)導者還建議首席信息安全官采取零信任態(tài)度，并大力部署可支持零信任安全模型的技術(shù)。該模型會假設(shè)連接是不可信的，除非它們可以證明自己是可信的。

Gadia說：“在零信任安全模型中，云資產(chǎn)的安全性不依賴于擴展網(wǎng)絡(luò)中的受信用戶和設(shè)備。零信任只取決于需要的最低特權(quán)/訪問權(quán)限。在允許用戶訪問云環(huán)境中的資源之前，所有用戶和設(shè)備都需要經(jīng)過驗證。”

Moyle表示，雖然這種思維方式將所有未經(jīng)驗證的東西都視為不可信任，但是它們可幫助安全團隊保護企業(yè)免受未經(jīng)批準的云部署、影子IT以及安全性不達標的云提供商的侵擾。Moyle解釋說：“這并不是說提供商無法提供很好的安全性，這只是預先假定環(huán)境是危險的，并為此進行了有針對性的設(shè)計而已。”

最后，專家建議，那些希望提高混合云環(huán)境安全性的首席信息安全官先確保已有能夠支持相關(guān)安全標準的流程，同時完成長期一直主導安全性的傳統(tǒng)的人員-流程-技術(shù)方法的改造和更新。

這些工作需要企業(yè)內(nèi)部所有相關(guān)部門之間進行協(xié)作，從而在業(yè)務(wù)需求、安全目標和合規(guī)性義務(wù)之間實現(xiàn)平衡。

451 Research的信息安全團隊首席研究分析師Fernando Montenegro說：“關(guān)于如何對云進行風險管理、組織內(nèi)部如何進行云開發(fā)，以及如何通過技術(shù)做出風險決策等問題需要進行更高層級的戰(zhàn)略對話。”他指出，許多首席信息安全官及其團隊在項目周期的早期就開始與開發(fā)人員和相關(guān)部門展開了合作，以確保安全性在一開始就被充分考慮。

作者：本文作者Mary K.Pratt為自由撰稿人。

編譯：陳琳華

原文網(wǎng)址：https://www.csoonline.com/article/3584735/

building-stronger-multicloud-security-3-key-elements.html