根據(jù)調(diào)研機(jī)構(gòu)麥肯錫公司最近的調(diào)查，目前的云計(jì)算采用率正在增加，但大多數(shù)組織仍處于初級(jí)階段。只有40%的組織在公共云平臺(tái)上的工作負(fù)載超過(guò)10%。80%的組織計(jì)劃在未來(lái)三年內(nèi)將其工作負(fù)載的10%以上轉(zhuǎn)移到公共云平臺(tái)，或計(jì)劃將云計(jì)算滲透率提高一倍。

麥肯錫公司調(diào)查了大約100家企業(yè)，以確定企業(yè)如何采用云計(jì)算以及他們?cè)诖诉^(guò)程中面臨的安全挑戰(zhàn)。

[[224922]]

對(duì)許多企業(yè)來(lái)說(shuō)，安全性是云計(jì)算遷移面臨的最大障礙。然而，調(diào)查報(bào)告發(fā)現(xiàn)，企業(yè)首席信息安全官卻表示，云計(jì)算服務(wù)提供商(CSP)的安全資源比他們自己內(nèi)部部署的數(shù)據(jù)中心要安全得多。如今，他們正在詢問(wèn)如何以更安全的方式采用云服務(wù)，因?yàn)檫@些公司現(xiàn)有的許多安全實(shí)踐和架構(gòu)在云端的效率可能較低。

根據(jù)麥肯錫的調(diào)查報(bào)告，企業(yè)遵循以下10個(gè)步驟可以安全地將其工作負(fù)載轉(zhuǎn)移到公共云：

1.決定將哪些工作負(fù)載遷移到公共云

企業(yè)選擇遷移的工作負(fù)載將決定需要哪些安全需求。例如，許多企業(yè)最初選擇將面向客戶的應(yīng)用程序或分析工作負(fù)載移至云中，并將核心事務(wù)系統(tǒng)保留在本地部署的數(shù)據(jù)中心。

2.確定至少一個(gè)能夠滿足工作負(fù)載安全要求的云計(jì)算服務(wù)提供商(CSP)

企業(yè)可以為其不同的工作負(fù)載選擇多個(gè)云提供商，但這些選擇應(yīng)與企業(yè)整體云策略的目標(biāo)保持一致。

3.企業(yè)需要根據(jù)遷移的便捷性、安全狀況、成本考慮因素、內(nèi)部專業(yè)知識(shí)，為每個(gè)工作負(fù)載分配一個(gè)安全原型

例如，企業(yè)可以選擇重新構(gòu)建應(yīng)用程序，并針對(duì)面向客戶的工作負(fù)載使用默認(rèn)的云計(jì)算服務(wù)提供商(CSP)控制，并在重新構(gòu)建數(shù)據(jù)訪問(wèn)時(shí)，取消和移動(dòng)內(nèi)部核心事務(wù)應(yīng)用程序，而無(wú)需重新設(shè)計(jì)。

4.對(duì)于每個(gè)工作負(fù)載，確定為每個(gè)控制措施執(zhí)行的安全級(jí)別

企業(yè)應(yīng)確定身份和訪問(wèn)管理(IAM)是否需要單因素、多因素或更高級(jí)的身份驗(yàn)證。

5.決定為每個(gè)工作負(fù)載的控制使用哪些解決方案

企業(yè)可以確定每個(gè)云計(jì)算服務(wù)提供商(CSP)針對(duì)每個(gè)工作負(fù)載的功能，并決定是否使用現(xiàn)有的本地部署安全解決方案，云計(jì)算服務(wù)提供商(CSP)提供的解決方案，或第三方解決方案。

6.實(shí)施必要的控制措施，并將其與其他現(xiàn)有解決方案進(jìn)行整合

企業(yè)需要充分了解每個(gè)云計(jì)算服務(wù)提供商(CSP)的安全功能和安全執(zhí)行流程。這也意味著云計(jì)算服務(wù)提供商(CSP)需要對(duì)其安全實(shí)踐保持透明。

7. 開(kāi)發(fā)視圖查看每個(gè)控制措施是否可以標(biāo)準(zhǔn)化和自動(dòng)化

企業(yè)必須分析全套控制措施，并決定哪些控制措施可以在組織內(nèi)實(shí)現(xiàn)標(biāo)準(zhǔn)化，哪些控制措施可以實(shí)現(xiàn)自動(dòng)化。

8.優(yōu)先實(shí)施第一套控制措施

企業(yè)可以根據(jù)遷移的應(yīng)用程序以及它選擇應(yīng)用的安全模型來(lái)選擇優(yōu)先級(jí)。

9.實(shí)施控制和治理模式

對(duì)于實(shí)施標(biāo)準(zhǔn)化但不是自動(dòng)化的控制措施，企業(yè)可以開(kāi)發(fā)這個(gè)清單，并培訓(xùn)開(kāi)發(fā)人員如何遵循這些清單。對(duì)于可以實(shí)施標(biāo)準(zhǔn)化和自動(dòng)化的控制措施，企業(yè)可以使用安全的DevOps方法創(chuàng)建自動(dòng)化例程來(lái)實(shí)施控制措施，并實(shí)現(xiàn)標(biāo)準(zhǔn)化。

10.利用第一輪執(zhí)行期間獲得的經(jīng)驗(yàn)挑選下一組實(shí)施的控制措施

從這些經(jīng)驗(yàn)中學(xué)習(xí)可以幫助改進(jìn)未來(lái)控制系統(tǒng)的實(shí)施過(guò)程。

調(diào)查報(bào)告稱，“我們的經(jīng)驗(yàn)和研究表明，公共云的網(wǎng)絡(luò)安全可以通過(guò)正確的方法實(shí)現(xiàn)。通過(guò)開(kāi)發(fā)以云計(jì)算為中心的網(wǎng)絡(luò)安全模型，在各個(gè)安全領(lǐng)域設(shè)計(jì)強(qiáng)有力的控制措施，明確云計(jì)算服務(wù)提供商(CSP)的責(zé)任，以及使用安全的DevOps，企業(yè)可以將工作負(fù)載轉(zhuǎn)移到公共云中，從而更好地保護(hù)他們最關(guān)鍵的信息資產(chǎn)。”