調(diào)查顯示，目前幾乎所有的企業(yè)都在使用多家云提供商和大量基于云的解決方案。也就是說企業(yè)IT已經(jīng)接受了混合云模型。

分析公司IDC預(yù)計(jì)，到2022年，全球90%以上的企業(yè)將擁有多個(gè)公有云。據(jù)IT管理解決方案提供商Flexera發(fā)布的《2020年云現(xiàn)狀報(bào)告》顯示，93%的企業(yè)部署了混合云戰(zhàn)略，這一百分比高于兩年前的81%。目前受訪者平均使用的公有云和私有云均為2.2個(gè)。

但是傳統(tǒng)企業(yè)中公有云和私有云以及SaaS應(yīng)用程序越來越多的組合也帶來了許多安全問題。在Flexera的調(diào)查中，約83%的企業(yè)將安全性列為挑戰(zhàn)，高于對(duì)云支出的管理(82%)和治理(79%)。

咨詢公司Protiviti的新興技術(shù)和全球云實(shí)踐主管Randy Armknecht說：“混合云給安全團(tuán)隊(duì)帶來的挑戰(zhàn)正在持續(xù)增長(zhǎng)。服務(wù)的發(fā)布數(shù)量、新的交互方式、服務(wù)與系統(tǒng)的互連，所有的這些都在不斷發(fā)展，同時(shí)也為企業(yè)安全模型增加了新的復(fù)雜性。”

混合云環(huán)境的安全性被高度關(guān)注并不意外。因?yàn)槭紫畔踩賯円呀?jīng)意識(shí)到他們需要保護(hù)的范圍已經(jīng)從企業(yè)內(nèi)部的基礎(chǔ)設(shè)施變成了分布在不同廠商中的計(jì)算資源網(wǎng)。要命的是，美國(guó)服務(wù)器，這些廠商提供的服務(wù)級(jí)別和安全承諾各不相同。這種環(huán)境為惡意軟件攻擊、數(shù)據(jù)泄露、違規(guī)和彈性問題帶來了更多的漏洞。畢馬威(KPMG)技術(shù)風(fēng)險(xiǎn)實(shí)踐業(yè)務(wù)的合伙人Sai Gadia說，混合云架構(gòu)的復(fù)雜性正在成為一種攻擊向量。“如果傳統(tǒng)的人員、流程或技術(shù)中存在漏洞，美國(guó)站群服務(wù)器，那么不法分子就會(huì)尋求機(jī)會(huì)利用這些漏洞。”

復(fù)雜性越來越高

技術(shù)供應(yīng)商Blissfully在《2020年SaaS趨勢(shì)報(bào)告》中指出，目前傳統(tǒng)的企業(yè)IT基礎(chǔ)設(shè)施和解決方案堆棧不僅包括了公有云和私有云部署，還包括了大量不同的SaaS產(chǎn)品(平均數(shù)量為288種)。

不同構(gòu)成要素有著不同的安全要求，內(nèi)置的安全功能的級(jí)別和類型也各不相同。各家云提供商使用工具也不盡相同，即便是同一類工具，他們的術(shù)語往往也不一樣。此外，這些云提供商在安全方面的責(zé)任也是不同的。所有這些都迫使首席信息安全官不得不將它們整合為一個(gè)整體，以記錄云服務(wù)的安全功能是否夠用，是否需要更多的安全性，以及在何處需要什么樣的額外安全措施。

451 Research負(fù)責(zé)信息安全渠道的高級(jí)研究分析師Garrett Bekker說：“我們通常認(rèn)為云服務(wù)可以讓我們的生活變得更簡(jiǎn)單，并且它們可以通過多種方式實(shí)現(xiàn)，可以為我們提供很多好處。但是從安全的角度來看，由于它們要做的事情太多，因此也增加了很多復(fù)雜性。”

在甲骨文和畢馬威(KPMG)的《2020年云威脅報(bào)告》中，受訪者認(rèn)為復(fù)雜性是一項(xiàng)重大挑戰(zhàn)。其中，70%的受訪者認(rèn)為保護(hù)其公有云足跡需要太多的專用工具，78%的受訪者則指出，在云端駐留和本地應(yīng)用程序之間需要在不同的安全策略和流程。

這些問題又帶來了另一個(gè)我們熟悉的安全問題：缺乏可見性。

Security Curve的創(chuàng)始合伙人兼ISACA(國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì))混合云環(huán)境安全影響管理團(tuán)隊(duì)的首席開發(fā)者Ed Moyle指出：“用戶難以從各家提供商那里獲得所有的不同信息，以確定統(tǒng)一的管理視角。”

Very Good Security的首席信息安全官Kathy Wang稱，可見性挑戰(zhàn)來自多個(gè)層面。例如，企業(yè)安全團(tuán)隊(duì)無法深入了解企業(yè)的所有云部署(尤其是那些由業(yè)務(wù)部門直接購(gòu)買的SaaS產(chǎn)品)。即使這樣做了，他們也仍然難以監(jiān)控所有的云部署并從中發(fā)現(xiàn)問題。另外，對(duì)事件管理工具的數(shù)據(jù)進(jìn)行編譯和解讀也是一件非常困難的事情。

制定策略

制定混合云安全策略首先要確定企業(yè)使用的所有云，確保企業(yè)擁有強(qiáng)大的數(shù)據(jù)治理程序以指導(dǎo)與云相關(guān)的安全決策，以及在正確的位置部署正確的工具，從而確?？刂萍?jí)別適當(dāng)。

在《混合云環(huán)境安全性影響管理》報(bào)告中，ISACA指出，“要想讓多家提供商都能發(fā)揮作用，企業(yè)必須調(diào)整他們的工具、流程、監(jiān)控功能、運(yùn)營(yíng)思路，以及與安全規(guī)劃相關(guān)的諸多要素。”

Gadia認(rèn)為目前首席信息安全官正在朝著這個(gè)方向發(fā)展。他指出，甲骨文和畢馬威的調(diào)查報(bào)告顯示，企業(yè)的云安全架構(gòu)師的數(shù)量要多于安全架構(gòu)師。盡管如此，許多安全團(tuán)隊(duì)還需要進(jìn)一步增加具備能夠創(chuàng)建安全云架構(gòu)所需全部技能的人員數(shù)量。

以下是增強(qiáng)混合云安全性的三大關(guān)鍵步驟。

關(guān)注應(yīng)用程序和數(shù)據(jù)