在多云环境下，怎样实现和管理安全控制

一旦出现数据泄露或者入侵警报，安全部门会立即进入高速运转状态，拼尽全力去阻止破坏，确定原因。即使IT部门在企业自己的基础设施上运行其所有操作，这项任务也是非常有挑战性的，而且，随着企业将更多的工作负载先迁移到云端，然后迁移到多个云供应商那里，这项任务变得越来越复杂。

云服务供应商RightScale发布的《2018年云计算状况报告》显示，在997名受访的技术专家中，有77%的受访者认为云安全是挑战，29%认为这是一项重大挑战。安全专家表示，他们对此结果并不感到意外，特别是考虑到RightScale调查的81%的受访者使用的是多云策略。

管理咨询公司Protiviti的技术咨询实践总经理兼全球负责人Ron Lefferts评论说：“在多云环境下，怎样实现和管理安全控制变得更加复杂。”他以及一些其他安全领导指出，随着更多的工作负载迁移到云端，企业把安全放在首位是比较明智的。

多云安全挑战

但他们也应该认识到，多云环境带来了更多的挑战，应将其看做整体安全策略的一部分加以解决。专注于IT治理的专业协会ISACA的董事、前董事会主席Christos K. Dimitriadis认为，“在这个多云的环境中，一切都关乎协调——在合同、技术和人员方面都是如此。如果发生事故，需要确保所有实体都协调一致，确保他们协同工作，目的是找到漏洞并进行分析，制定改进计划，以便更有效地进行控制。”

本文介绍安全专家指出的多云环境中复杂安全策略的三个因素。

日益复杂。在多个云供应商以及扩展了大量连接点的网络之间协调安全策略、流程和响应，这些都会增加复杂性。非营利行业组织云安全联盟（CSA）的ERP安全工作组联席主席解释说：“如果你把数据中心扩展到了世界上的多个地方。那就必须遵守数据中心所在国家和地区的法规。我们要面对如此之多，并且数量还在不断增长的法规，这些法规促使企业去实施很多控制功能和机制，所有这些都增加了我们保护数据的复杂性。”

缺乏可见性。IT部门通常并不知道企业其他部门使用的所有云服务，这些部门可以轻松地绕过企业IT去自行采购软件即服务产品或者其他基于云的服务。Dimitriadis说：“因此，我们不得不努力保护数据，努力保护服务，努力保护业务，但却对数据在哪里没有清晰的认识。”

新威胁。咨询公司安全风险管理有限公司的创始人兼首席执行官Jeff Spivey说，企业安全领导还应该认识到，多云环境的出现可能会带来新的威胁。他说：“我们正在创造一些我们还不知道其中所有漏洞的东西，我们会在前进过程中发现这些漏洞。”

构建多云策略

安全专家指出，随着多云环境的发展，出现了很多安全最佳实践，所有企业在制定自己的安全策略时都应该采取一些关键步骤。

Dimitriadis指出，首先要知道数据所在的所有云，并确保企业有健壮的数据治理程序，该程序“能够全面了解数据，知道哪些IT服务和资产与信息相关。”不过，他说，当数据迁移到云中并在不同的云平台之间传送时，采取这些基本措施就变得更加关键了。

统计数据说明了为什么拥有强大的安全基础设施如此重要的原因：毕马威和甲骨文的《2018年云计算威胁报告》调查了450名网络安全和IT专业人士，报告称90%的企业将一半基于云的数据列为敏感数据。报告还发现，82%的受访者担心员工不遵守云安全政策，38%的受访者存在云安全事件检测和响应问题。

ISACA的部门领导、赛门铁克首席技术官办公室的策略师兼拓展专员Ramsés Gallego说，为应对这类情况，企业应该对信息进行分类，建立安全层。之所以制定此措施，是因为认识到并非所有数据都需要相同级别的可信和验证才能进行访问或者锁定。安全专家还建议企业实施其他常规安全措施，作为保护多云环境的必要基础层。除了数据分类策略之外，Gallego还建议使用加密、身份和访问管理（IAM）解决方案，例如，双重身份验证。

毕马威新兴技术风险服务业务的合伙人Sailesh Gadia负责公司的云风险咨询业务，他指出，企业随后需要对其政策和架构进行标准化处理，以确保应用和自动化功能尽可能一致，以帮助不会偏离这些安全标准。Gadia解释说：“企业需要多大的投入取决于数据的风险和敏感性。因此，如果你使用云进行非机密的数据存储/处理，那么就不需要像处理机密信息的云那样的安全方法。”他还指出，标准化和自动化带来了效率，这不仅降低了总成本，而且还使得安全领导们能够把更多的资源用于价值更高的任务中。

专家指出，这些基本要素应该成为更广泛、联系更紧密的策略的一部分，当企业采用框架来管理安全工作时，会做得很好。通用框架包括美国国家标准和技术研究所的NIST、ISACA的信息相关技术控制目标（COBIT）、ISO 27000系列，以及云安全联盟的云控制矩阵（CCM）。

设定供应商的期望

Dimitriadis说，所选择的框架不仅能指导企业，还应该指导供应商。他解释说，“我们需要做的是把这些内容纳入与云供应商的协议中。然后就能够围绕你要保护的数据和服务建立控制功能。”

安全专家指出，与云供应商的谈判以及随后的服务协议应该解决要提供的数据隔离类型、数据存储在哪里，以及供应商一方谁可以访问数据等问题，如果出现问题，供应商应该怎样应对——包括他们将怎样与其他云供应商合作和协调，为企业提供服务。

Spivey认为：“要明确期望是什么，以及怎样衡量这些期望。必须清楚地了解你能从每家供应商那里得到什么服务，以及他们是否具有管理和控制服务的功能和能力。”

但是不要把太多的安全权限让给云供应商，Gallego说。云供应商通常通过强调他们代表企业客户所做的工作来销售他们的服务，虽然这些工作的确包括安全服务，但Gallego指出，“这还不够。他们从事的是云业务，而不是安全业务。”因此，他说，企业安全领导们必须把他们的安全计划制定到很细的层面上——“谁有权访问哪些内容，以及什么时候、怎样访问”，然后将其交给每家云供应商以协助执行这些计划。他补充说：“云供应商需要赢得我们的信任。”

采用新兴技术

然而，据安全专家的说法，政策、治理甚至传统的安全措施（例如，双重身份验证）虽然都是必要的，但还不足以处理多个云之间分散的工作负载所带来的复杂性。企业必须采用旨在使企业安全部门能够更好地管理和实施其多云安全策略的新兴技术。

Gallego和其他专家介绍了一些解决方案，例如，云访问安全代理（CASB），企业在自己和云服务供应商之间放置的本地软件，目的是巩固和加强身份验证、凭证映射、设备配置分析、加密和恶意软件检测等安全措施。他们还列出了人工智能技术，该技术学习并分析网络流量，从而更准确地检测应引起人类注意的异常事件，减少了要耗费资源进行调查的良性事件的数量，把资源重新应用于最有可能出现问题的地方。他们指出，应继续使用自动化作为优化多云环境安全的关键技术。正如Spivey所指出的：“成功的企业是那些能够自动完成大部分工作而专注于治理和管理的企业。”

此外，Spivey和其他专家还指出，虽然用于在多云之间保护数据的专业技术（例如，CASB）可能是多云环境所特有的，但必须强调总体安全原则应遵循长期以来的方法，即针对人、流程和技术来制定最佳策略。

Perez-Etchegoyen也是Onapsis公司的首席技术官，他说：“我们讨论了不同的技术，不同的场景，更关注数据，但要实现的是相同的概念。对于多云环境，技术方法会有所不同，但总体策略是一样的。”