【51CTO.com快譯】AWS長(zhǎng)期統(tǒng)治著云業(yè)務(wù)領(lǐng)域，但考慮到愈發(fā)復(fù)雜的具體業(yè)務(wù)需求(包括管理風(fēng)險(xiǎn)與成本等因素)，企業(yè)客戶通常有必要同時(shí)選擇多家云服務(wù)供應(yīng)商。另外，多家云服務(wù)商相配合往往能夠帶來(lái)最理想的整體云成本水平。

但在運(yùn)行多云環(huán)境并享受相關(guān)優(yōu)勢(shì)的同時(shí)，我們也有必要采取適當(dāng)?shù)陌踩胧┮詫?shí)現(xiàn)保障能力。下面，我們首先從三大公有云巨頭入手，逐步開(kāi)啟今天的議題。

公有云市場(chǎng)三大巨頭

目前公有云市場(chǎng)由三大巨頭把持，分別為AWS、微軟Azure以及Google Cloud Platform。AWS參與最早且份額最高(達(dá)57%)，微軟份額為34%，而谷歌則把持著15%。

運(yùn)行在多云環(huán)境下實(shí)現(xiàn)安全保障

[[197760]]

1. 避免Shadow Ops

只有企業(yè)內(nèi)各個(gè)部門(mén)都認(rèn)同多云環(huán)境帶來(lái)的收益，才能真正發(fā)揮積極作用。然而，您可能面對(duì)著大量分散在AWS、Azure以及谷歌平臺(tái)中的實(shí)例，并由DevOps團(tuán)隊(duì)負(fù)責(zé)根據(jù)具體情況對(duì)其加以使用。

在這種情況下，企業(yè)的安全性顯然將受到嚴(yán)重影響。根據(jù)Gartner在2017年安全與風(fēng)險(xiǎn)管理峰會(huì)上得出的結(jié)論，到2020年，將有三分之一企業(yè)的IT資源遭遇攻擊影響。因此，無(wú)論您所在的企業(yè)決定選用單一云供應(yīng)商還是分散式基礎(chǔ)設(shè)施，請(qǐng)確保每位成員都了解相關(guān)實(shí)例以及對(duì)應(yīng)的安全最佳實(shí)踐。這是解決Shadow Ops難題并提升整體安全水平的唯一途徑。

2. 優(yōu)先實(shí)現(xiàn)可見(jiàn)性

無(wú)論選擇怎樣的云平臺(tái)，您都應(yīng)確保對(duì)全部實(shí)例擁有可見(jiàn)能力。在理想情況下，您應(yīng)對(duì)具體可見(jiàn)性進(jìn)行優(yōu)先級(jí)排序，并將其引入工作負(fù)載層。

單純依靠基于簽名的監(jiān)控機(jī)制還遠(yuǎn)遠(yuǎn)不夠，我們應(yīng)當(dāng)專(zhuān)注于通過(guò)基于行為型監(jiān)控提升可見(jiàn)能力。具體來(lái)講，我們應(yīng)在全部實(shí)例當(dāng)中引入行為監(jiān)控手段，以快速發(fā)現(xiàn)異常行為。

您的安全解決方案應(yīng)具備以下能力：

識(shí)別不受信的系統(tǒng)修改。

通過(guò)用戶及進(jìn)程行為監(jiān)控捕捉威脅活動(dòng)。

立即檢測(cè)異常的用戶、進(jìn)程與文件活動(dòng)。

只要擁有這樣完善的可見(jiàn)能力，那么具體使用AWS、Azure或是谷歌云將不再重要——您仍能夠保障運(yùn)行安全。

3. 遵循最佳實(shí)踐

每種云平臺(tái)都擁有自己的最佳實(shí)踐。因此如果您計(jì)劃在多種平臺(tái)上運(yùn)行實(shí)例，請(qǐng)確保遵循與之對(duì)應(yīng)的最佳實(shí)踐。盡管三大巨頭皆提供有所差別的最佳實(shí)踐清單，但其中仍存在著一些普適性的標(biāo)準(zhǔn)：

隨時(shí)了解您的環(huán)境內(nèi)正在發(fā)生什么。

設(shè)置警報(bào)(按嚴(yán)重性排序)以通知您與策略相沖突的行為。

滿足并高于合規(guī)性要求。

保持良好習(xí)慣：及時(shí)更新并安裝補(bǔ)丁。

云服務(wù)供應(yīng)商進(jìn)行最佳實(shí)踐共享的作法值得提倡，因?yàn)樗麄儽热魏稳硕几私庾约旱募夹g(shù)方案，有責(zé)任教育并支持客戶。

4. 關(guān)注自動(dòng)化

人總是會(huì)犯錯(cuò)，Gartner認(rèn)為到2020年，95%的云安全事故都源自客戶的錯(cuò)誤。在安全方面，人為錯(cuò)誤可能引發(fā)各類(lèi)風(fēng)險(xiǎn)，而依靠機(jī)器自動(dòng)執(zhí)行常規(guī)重復(fù)性任務(wù)則能夠有效提升安全水平——特別是在多云環(huán)境當(dāng)中。

我們建議您利用自動(dòng)化方案進(jìn)行安全設(shè)計(jì)，具體指導(dǎo)方針包括：

更新您的云治理規(guī)則。

了解共同責(zé)任模式。

采取持續(xù)性風(fēng)險(xiǎn)治理方法。

云環(huán)境能夠幫助您的DevOps團(tuán)隊(duì)實(shí)現(xiàn)工作提速，并憑借著持續(xù)集成與持續(xù)開(kāi)發(fā)周期帶來(lái)顯著的競(jìng)爭(zhēng)優(yōu)勢(shì)。然而，云環(huán)境同樣有可能引發(fā)風(fēng)險(xiǎn)，因此您必須利用自動(dòng)化方案有效管理一切安全最佳實(shí)踐，進(jìn)而將出現(xiàn)錯(cuò)誤的可能性控制在最低水平。

5. 堅(jiān)持共同責(zé)任模式

最后，請(qǐng)確保充分理解共同責(zé)任模式。具體來(lái)講，盡管AWS、谷歌與微軟肩負(fù)著保護(hù)云環(huán)境自身的責(zé)任，但作為客戶的您則需要保證您的應(yīng)用程序、數(shù)據(jù)以及其它存在于云環(huán)境內(nèi)的系統(tǒng)得到充分保護(hù)。如果有人在無(wú)需權(quán)限的情況下登錄生產(chǎn)環(huán)境并引發(fā)風(fēng)險(xiǎn)，那么這部分責(zé)任將完全由您承擔(dān)。因此，請(qǐng)確保充分理解這種新的責(zé)任分?jǐn)偡绞?，并?jiān)持加以貫徹。

結(jié)語(yǔ)

毫無(wú)疑問(wèn)，我們能夠看到越來(lái)越多的企業(yè)立足云平臺(tái)進(jìn)行市場(chǎng)競(jìng)爭(zhēng)，令人非常振奮。而且雖然AWS擁有明顯優(yōu)勢(shì)，但多元化的云服務(wù)選項(xiàng)讓企業(yè)客戶迎來(lái)更加豐富的解決方案思路。

只要您始終高度關(guān)注安全最佳實(shí)踐，同時(shí)采取措施以確保云環(huán)境的可見(jiàn)性，那么您將能夠全面享受公有云帶來(lái)的優(yōu)勢(shì)，且不會(huì)因任何潛在安全缺陷而導(dǎo)致業(yè)務(wù)受損。

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】