誤區(qū) 1：本地安全工具無法在云端運(yùn)行

可以肯定的是，用于保護(hù)云環(huán)境的安全工具可能看起來與在本地使用的安全工具有所不同。但在很大程度上，可以調(diào)整本地工具以在云中工作。

例如，防火墻在本地和云中都發(fā)揮著重要作用。云防火墻有點(diǎn)不同，因?yàn)樗鼈冃枰c最新的云供應(yīng)商網(wǎng)絡(luò)服務(wù)本地集成，具有彈性、敏捷性和可擴(kuò)展性，并且易于部署。他們還需要自動(dòng)化，以便準(zhǔn)備好支持云運(yùn)營(yíng)團(tuán)隊(duì)，并且需要提供自適應(yīng)安全策略來管理云環(huán)境的任何和所有動(dòng)態(tài)變化。

簡(jiǎn)而言之，“不要假設(shè)本地工具集在云中會(huì)是一對(duì)一的關(guān)系”，Zinnia 信息安全經(jīng)理 Saul Schwartz 在網(wǎng)絡(luò)研討會(huì)上說道。但應(yīng)該期望能夠調(diào)整和擴(kuò)展一些本地安全工具和策略來支持云遷移，不需要從頭開始。

誤區(qū) 2：云供應(yīng)商的網(wǎng)絡(luò)安全工具比第三方解決方案更好

公共云供應(yīng)商提供的內(nèi)置安全工具可能看起來很有吸引力，因?yàn)樗鼈兡J(rèn)可用。但它們幾乎永遠(yuǎn)不會(huì)比第三方產(chǎn)品更好。

畢竟，云供應(yīng)商的主要目標(biāo)是向客戶銷售更多云服務(wù)，而提供網(wǎng)絡(luò)安全解決方案可以支持這一目標(biāo)。相比之下，第三方網(wǎng)絡(luò)安全供應(yīng)商在云銷售競(jìng)賽中卻沒有優(yōu)勢(shì)。他們的唯一目標(biāo)是幫助客戶確保云遷移的安全以及遷移期間和遷移后的工作負(fù)載的安全。

另外，云供應(yīng)商自己的工具在大多數(shù)情況下都存在無法支持其他云的問題，這對(duì)于采用多云架構(gòu)的組織來說是一個(gè)大問題。它們還會(huì)將您與特定的云結(jié)合起來，如果您選擇遷移或者合并或收購(gòu)事件要求您的公司整合云環(huán)境，則會(huì)帶來挑戰(zhàn)。

誤區(qū) 3：云供應(yīng)商網(wǎng)絡(luò)安全工具更便宜

假設(shè)云供應(yīng)商安全工具更便宜也很容易，但這是錯(cuò)誤的。他們可能在某些領(lǐng)域提供較低的定價(jià)，例如數(shù)據(jù)攝取成本。但總體而言，由于以下因素，您的總擁有成本 (TCO) 通常會(huì)更高：

• 工具功能較少，需要您雇用更多員工來填補(bǔ)工具留下的空白。
• 需要在不同的工具和UI之間切換來完成任務(wù)（例如，Azure有五種不同的云網(wǎng)絡(luò)安全控制臺(tái)：安全組、Azure防火墻、Microsoft Defender for Cloud、Azure Policy、Microsoft Sentinel），這也導(dǎo)致效率較低并且需要更大的團(tuán)隊(duì)。
• 它們僅適用于特定的云，這意味著無法輕松利用通過遷移到其他云或多云而獲得的成本節(jié)省機(jī)會(huì)。正如 Schwartz 在 CISO 網(wǎng)絡(luò)研討會(huì)上指出的那樣，“如果依賴云供應(yīng)商安全解決方案，然后突然必須在另一個(gè)云中執(zhí)行相同的操作，那么就完蛋了?！?/span>
• 防止檢測(cè)風(fēng)險(xiǎn)和威脅的能力降低，導(dǎo)致更嚴(yán)重的安全事件（更有可能發(fā)生）可能導(dǎo)致更高的成本。

簡(jiǎn)而言之，一旦超越基本價(jià)格標(biāo)簽，就會(huì)意識(shí)到云供應(yīng)商工具幾乎從未更具成本效益。

誤區(qū) 4：云中不需要防火墻

由于云供應(yīng)商提供了用于在網(wǎng)絡(luò)級(jí)別過濾流量和隔離工作負(fù)載的工具，因此可能會(huì)認(rèn)為云中不需要防火墻。

但實(shí)際情況是，云防火墻在云遷移安全中發(fā)揮著至關(guān)重要的作用，是基礎(chǔ)層，可顯著降低風(fēng)險(xiǎn)，且成本效益比高?？梢哉f，如果云防火墻解決方案不是其客戶所必需的安全層，那么領(lǐng)先的云供應(yīng)商就不會(huì)投入大量資金來開發(fā)云防火墻解決方案。

然而，云供應(yīng)商防火墻工具的靈活性是有限的。例如，不提供深度流量分析等高級(jí)功能，不能跨多個(gè)云工作，也不能輕松與第三方工具集成以促進(jìn)集中風(fēng)險(xiǎn)管理。為了防御復(fù)雜的云網(wǎng)絡(luò)威脅，需要復(fù)雜的云防火墻。

誤區(qū) 5：開發(fā)人員與云安全隔離

這個(gè)誤區(qū)仍然存在，因?yàn)殚_發(fā)人員和安全團(tuán)隊(duì)往往在孤島中工作。開發(fā)人員專注于開發(fā)應(yīng)用程序，然后將其留給云安全團(tuán)隊(duì)來保護(hù)應(yīng)用程序和云環(huán)境。如果不應(yīng)對(duì)這一挑戰(zhàn)，可能會(huì)減慢團(tuán)隊(duì)的速度并導(dǎo)致內(nèi)部沖突。

打破這些孤島的關(guān)鍵是讓開發(fā)和安全團(tuán)隊(duì)共享工具。例如，基礎(chǔ)設(shè)施即代碼 (IaC) 平臺(tái)使開發(fā)人員能夠使用代碼定義他們所需的基礎(chǔ)設(shè)施，還使安全團(tuán)隊(duì)能夠通過自動(dòng)分析來驗(yàn)證基礎(chǔ)設(shè)施是否安全。同樣，開發(fā)人員和安全團(tuán)隊(duì)共享對(duì)威脅預(yù)防、檢測(cè)和分析工具的訪問有助于每個(gè)團(tuán)隊(duì)相互協(xié)作來管理風(fēng)險(xiǎn)，同時(shí)還提供對(duì)安全操作狀態(tài)的共享可見性。

一組共享的工具將允許您融合不同的安全方法來打破孤島，同時(shí)使開發(fā)和安全團(tuán)隊(duì)能夠使用相同的語言。共享工具還有助于將左移云安全精神付諸實(shí)踐。通過確保在設(shè)計(jì)時(shí)考慮到本地安全性的應(yīng)用程序也可以免受云安全風(fēng)險(xiǎn)的影響，它可以讓開發(fā)人員更積極地參與云遷移過程。

誤區(qū) 6：安全是以速度為代價(jià)的

在網(wǎng)絡(luò)安全方面投入的精力越多，創(chuàng)新的速度就越慢，對(duì)吧？實(shí)施強(qiáng)大的云安全控制不會(huì)降低 IT 運(yùn)營(yíng)工程師推出新基礎(chǔ)設(shè)施以及開發(fā)人員構(gòu)建應(yīng)用程序的速度嗎？

嗯，不一定。除非受到組織孤島和不同工具的困擾，否則可以在安全的同時(shí)快速行動(dòng)。

借助可讓管理跨所有環(huán)境（即任何云或相關(guān)的多個(gè)云）的安全威脅的工具，同時(shí)還可以在軟件開發(fā)生命周期內(nèi)的所有階段在團(tuán)隊(duì)之間進(jìn)行安全協(xié)作，可以快速移動(dòng)，同時(shí)保持安全，因?yàn)榭梢约蓪踩匀谌?IT 運(yùn)營(yíng)和軟件開發(fā)工作流程中。集成意味著工程師可以快速配置新的基礎(chǔ)設(shè)施并推出新的應(yīng)用程序，同時(shí)遵守制定的安全策略。

結(jié)論

確保云遷移的安全可能具有挑戰(zhàn)性，特別是因?yàn)樵七w移是一個(gè)復(fù)雜的過程，不同的組織出于不同的原因、不同的考慮因素和約束，會(huì)以不同的方式進(jìn)行處理。

然而，只要堅(jiān)持保護(hù)云遷移的核心最佳實(shí)踐集，就可以保證工作負(fù)載和環(huán)境的安全。避免常見錯(cuò)誤，例如在第三方解決方案更有效時(shí)依賴云供應(yīng)商工具，或者假設(shè)必須以速度換取安全性。有了正確的策略和正確的工具，就可以擁有這一切：安全的云遷移、經(jīng)濟(jì)高效的運(yùn)營(yíng)、協(xié)作團(tuán)隊(duì)以及最大的靈活性，以追求對(duì)業(yè)務(wù)最有意義的云策略。

摘編自：Checkpoint