對(duì)于任何企業(yè)而言，無(wú)論其規(guī)模大小，確保多云環(huán)境的安全性都是一項(xiàng)挑戰(zhàn)，幸運(yùn)的是，一些相對(duì)簡(jiǎn)單的技術(shù)和常識(shí)性的安全實(shí)踐就能在很大程度上抵御攻擊者，確保多云環(huán)境更加安全且具有彈性。

為了在不影響企業(yè)安全性的前提下充分利用多云環(huán)境的價(jià)值，請(qǐng)考慮以下八大建議：

1.建立集中化的安全機(jī)構(gòu)

安全最終是一項(xiàng)共享責(zé)任，安全服務(wù)公司Security Compass的首席產(chǎn)品官Trevor Young表示。“盡管如此，多云安全的管理和戰(zhàn)略方向最好由一個(gè)集中化的安全團(tuán)隊(duì)或企業(yè)內(nèi)的專職人員來(lái)負(fù)責(zé)?！?/p>

無(wú)論是團(tuán)隊(duì)還是專職人員，這個(gè)角色都將負(fù)責(zé)定義整體安全策略、建立一致的政策和標(biāo)準(zhǔn)、選擇和管理跨云安全工具，并確保所有云環(huán)境中的合規(guī)性?！八麄儗⒆鳛閰f(xié)調(diào)者，與各個(gè)應(yīng)用團(tuán)隊(duì)和云所有者緊密合作?！盰oung說。

2. 創(chuàng)建統(tǒng)一的安全治理

應(yīng)建立一個(gè)統(tǒng)一的安全治理模型，涵蓋所有云環(huán)境，并由集中化的身份管理、可見性、自動(dòng)化和策略執(zhí)行來(lái)支持，安全服務(wù)公司NCC Group的總監(jiān)兼高級(jí)顧問Nigel Gibbons建議道。

Gibbons表示，這種方法通過在所有云提供商之間創(chuàng)建一致的安全控制來(lái)最小化復(fù)雜性和孤立性。“它減少了盲點(diǎn)，通過集中化身份(如Microsoft Entra ID或Okta)實(shí)施最小權(quán)限原則，實(shí)現(xiàn)了實(shí)時(shí)威脅檢測(cè)，并通過應(yīng)用相同的標(biāo)準(zhǔn)簡(jiǎn)化了合規(guī)性，無(wú)論云平臺(tái)如何。”他說。

一個(gè)由CISO或云安全架構(gòu)師領(lǐng)導(dǎo)的集中化云安全團(tuán)隊(duì)或云卓越中心(CCoE)應(yīng)處理所有安全方面的問題，Gibbons說?！八麄儜?yīng)與DevOps、平臺(tái)和合規(guī)團(tuán)隊(duì)協(xié)調(diào)，以執(zhí)行一致的政策并監(jiān)督所有環(huán)境中的風(fēng)險(xiǎn)?！彼硎?。

3. 擴(kuò)大你的范圍

單云安全通常只關(guān)注該提供商提供的特定安全工具和服務(wù)，Security Compass的Young說?！半S著時(shí)間的推移，你會(huì)對(duì)它們的生態(tài)系統(tǒng)非常熟悉。”

Young指出，多云安全增加了處理不同提供商的額外復(fù)雜性，每個(gè)提供商都有自己獨(dú)特的安全模型、服務(wù)和術(shù)語(yǔ)?！澳悴荒軆H僅依賴一個(gè)云提供商的原生工具，并期望它能覆蓋所有方面。”他說。多云環(huán)境需要一個(gè)更廣泛、更與供應(yīng)商無(wú)關(guān)的策略。

許多企業(yè)在沒有統(tǒng)一策略的情況下采用了每個(gè)提供商的原生安全工具，Young說，這種方法可能導(dǎo)致政策不一致、覆蓋范圍有缺口以及難以跨云關(guān)聯(lián)安全事件?！斑@就像有不同的安全人員誰(shuí)也不交流，卻保護(hù)著同一棟建筑的不同部分——漏洞是肯定會(huì)存在的。”他說。

4. 構(gòu)建統(tǒng)一的信任邊界

建議不要從云的角度思考，安全軟件和服務(wù)公司XYPRO的CISO Steve Tcherchian說?！皩⑺协h(huán)境——無(wú)論是AWS、Azure、本地部署還是遺留大型機(jī)——都視為一個(gè)統(tǒng)一信任邊界的一部分?！彼ㄗh道。圍繞身份、數(shù)據(jù)流和上下文構(gòu)建控制，而不是平臺(tái)?！耙坏┠惆丛苼?lái)設(shè)計(jì)安全，你就已經(jīng)分割了控制，并且你將很難跟上?！彼f。

統(tǒng)一的信任邊界將安全錨定在常量上——用戶、數(shù)據(jù)和意圖，Tcherchian說。“云只是管道，”他表示，“癡迷于云原生工具的CISO和安全團(tuán)隊(duì)往往事后才補(bǔ)救解決方案?！?/p>

5. 分擔(dān)責(zé)任

“多云安全應(yīng)該是CISO、云架構(gòu)師、DevOps和安全工程團(tuán)隊(duì)之間的共同責(zé)任，”威脅情報(bào)和安全運(yùn)營(yíng)提供商SOCRadar的CISO Ensar Seker說，“但最終的責(zé)任應(yīng)落在CISO身上，他必須確保安全政策與技術(shù)無(wú)關(guān)、一致執(zhí)行，并與業(yè)務(wù)風(fēng)險(xiǎn)承受能力保持一致?！彼ㄗh道。

“打破團(tuán)隊(duì)之間的壁壘并確?？缭瓶梢娦约性谝粋€(gè)統(tǒng)一的SecOps功能下至關(guān)重要。”他補(bǔ)充道。

多云不僅僅是一種技術(shù)策略。“它是一種業(yè)務(wù)彈性策略，其安全態(tài)勢(shì)必須反映這一事實(shí)，”Seker說，“企業(yè)應(yīng)投資于反映跨云攻擊模式的云威脅情報(bào)，并部署運(yùn)行時(shí)監(jiān)控和策略漂移檢測(cè)以保持持續(xù)保證，”他說，“在當(dāng)今的環(huán)境中，沒有統(tǒng)一安全性的云蔓延不僅是一種風(fēng)險(xiǎn)，更是一種責(zé)任?！?/p>

6. 建立協(xié)作的管理環(huán)境

有效的安全管理需要安全團(tuán)隊(duì)與其他關(guān)鍵利益相關(guān)者之間的協(xié)作參與，Centric Consulting的安全服務(wù)總監(jiān)Brandyn Fisher說。強(qiáng)大的協(xié)作確保所有安全措施將有效地與并支持更廣泛的業(yè)務(wù)目標(biāo)保持一致。

Fisher說，根據(jù)企業(yè)的企業(yè)結(jié)構(gòu)和復(fù)雜性，協(xié)作通常包括解決方案架構(gòu)師、云專家和系統(tǒng)管理員。“最有效的方法是建立明確的責(zé)任分工?！彼赋?。

通常，安全團(tuán)隊(duì)定義要求和治理框架，而實(shí)施則由一個(gè)專門的技術(shù)團(tuán)隊(duì)來(lái)完成。“這種平衡的方法保持了明確的所有權(quán)，同時(shí)促進(jìn)了跨多個(gè)云環(huán)境進(jìn)行全面安全管理所需的跨職能協(xié)作?！彼f。

隨著云技術(shù)的快速發(fā)展，很容易變得自滿，F(xiàn)isher觀察到?！氨３志韬头e極主動(dòng)至關(guān)重要，這意味著要通過行業(yè)會(huì)議、培訓(xùn)機(jī)會(huì)和積極參與專業(yè)社區(qū)來(lái)不斷發(fā)展團(tuán)隊(duì)技能?！彼f。

7. 考慮統(tǒng)一的檢測(cè)和響應(yīng)策略

一個(gè)跨所有云環(huán)境運(yùn)行的統(tǒng)一威脅中心檢測(cè)和響應(yīng)策略是抵御甚至最狡猾攻擊者的有效方法，網(wǎng)絡(luò)安全平臺(tái)提供商Intezer的現(xiàn)場(chǎng)CISO Mitchem Boles說?！巴ㄟ^將AWS、Azure、Google Cloud Platform和其他提供商的警報(bào)和行為關(guān)聯(lián)到一個(gè)集中化系統(tǒng)中，安全團(tuán)隊(duì)可以專注于真正的威脅，而不是與警報(bào)疲勞作斗爭(zhēng)。”他說。

Boles認(rèn)為這種方法非常有效，因?yàn)樗ㄟ^行為關(guān)聯(lián)和自動(dòng)化來(lái)突破云原生警報(bào)的泛濫，并快速識(shí)別真正的威脅?！八箞F(tuán)隊(duì)能夠更快地響應(yīng)，同時(shí)減少在復(fù)雜環(huán)境中進(jìn)行手動(dòng)分類的工作量。”他指出。

多云安全需要跨提供商管理不一致的工具、日志和身份模型，這引入了潛在的盲點(diǎn)，Boles說?！芭c單云設(shè)置不同，多云需要一個(gè)統(tǒng)一的視圖來(lái)確保所有平臺(tái)上的可見性、策略執(zhí)行和分類?！彼f。

8. 控制云訪問

“關(guān)鍵在于縮小攻擊面，”數(shù)字工作區(qū)提供商Kasm Technologies的首席技術(shù)傳教士Jaymes David說。“通過限制對(duì)云資源的訪問，使用短期、隔離的會(huì)話，你將減少惡意軟件滯留或有人闖入不應(yīng)進(jìn)入?yún)^(qū)域的機(jī)會(huì)，”他說，“添加會(huì)話記錄、SIEM集成、數(shù)據(jù)泄露防護(hù)(DLP)，甚至水印，你將擁有一個(gè)可追蹤、可執(zhí)行且可審計(jì)的強(qiáng)大安全故事?！彼硎?。

Bad actors(惡意攻擊者)并不關(guān)心你使用的是一個(gè)云還是五個(gè)云，David說?！叭欢瑥牟僮鹘嵌葋?lái)看，多云確實(shí)增加了復(fù)雜性?！彼ㄗh道。關(guān)鍵挑戰(zhàn)是在所有平臺(tái)上一致地管理策略執(zhí)行。“諷刺的是，我認(rèn)為如果你過度依賴單云且沒有構(gòu)建彈性，那么單云設(shè)置可能更危險(xiǎn)?！彼f。