混合云安全的8个关键考虑因素_云安全

采用混合云可以加强组织的安全态势，而不是削弱。但这并不意味着改进的安全性就是一种默认设置。虽然随着云计算技术的成熟，企业对其安全的担忧正在下降，但安全仍然是组织需要面对和管理的持续挑战。而混合云环境带有其自身特定的安全考虑因素。

国际信息安全学习联盟（CISA）的注册信息系统安全专家（CISSP）Christopher Steffen说，“混合云环境是动态和复杂的，由于多个终端用户从多个地点访问多个环境而变得更加复杂。”Steffen是Cyxtera公司的技术总监，Cyxtera公司最近收购了Steffen之前任职的安全产品提供商Cryptzone公司。

Steffen和其他安全专家讨论了企业的首席信息官及其团队在保护混合云环境时必须牢记的关键问题。企业需要优先考虑以下八项关键要素：

1.企业确保具有完整的可视性

CBI公司战略计划副总裁、网络安全资深专家J. Wolfgang Goerlich指出，在IT行业中，很多首席信息官和其他IT领导者经常在他们的环境中存在盲点，或者他们在他们的内部部署的基础设施的认识方面过于狭隘。

既然企业及其最终用户可以使用数百个基于云计算的应用程序，并且多个部门可以在基础设施即服务平台上创建自己的虚拟服务器，那么跨私有云、公共云和传统基础设施的完整可见性就是必须的。Goerlich说，缺乏可见性会给企业带来更大的安全风险。

2. 每一个资产都需要拥有者

如果企业缺乏全方位的可见度，那么有可能缺乏所有权。企业的每一个混合云设施都需要一个拥有者。

Goerlich说：“IT安全的一个关键原则是需要一个拥有者，确认每个资产，并让拥有者负责对资产的最小权限和责任分工。缺乏可见度会导致缺乏所有权。这意味着，在通常情况下，混合云环境具有松散定义的访问控制，并且往往没有职责分离。过度的许可将会带来风险，而没有拥有者的风险是未解决的风险。”

3.混合云尝试混合安全

IT越来越成为企业整体业务战略的驱动力，而不仅仅是服务企业，混合云模式已经成为推动这一转变的推动者。以类似的方式，现代IT需要重新思考一些旧的安全模式，例如混合安全。

Biscom公司首席执行官Bill Ho说，“关于安全性的战略不断发展，许多企业正在采用混合方法来为他们的安全基础设施建立更多的层次和深度。”企业的某些安全技术可能驻留在本地部署的数据中心，而另一些则在企业网络之外运行更有意义。

Bill Ho解释说，“企业有很多的理由需要内部部署安全工具和应用程序，例如桌面防病毒、DLP、防火墙以及IDS/IPS系统。”其中一些作为云计算服务提供，有些则具有云中的组件，而应用程序或应用程序则在本地部署的数据中心中运行。一些服务最好在云端处理，比如帮助减轻DDoS攻击的服务。

4.安全性和合规性：连接但不一样

Steffen表示，“企业可能在没有合规的情况下拥有安全感，但是如果没有出现安全问题，那么人们可能永远不会遵守监管法规。人们不要将安全性和合规性这二者混为一谈，特别是当企业正在迁移到混合云模型时，应该将合规性视为企业云安全策略的一个重要但独立的部分。

在混合云或多云环境中的合规性不一定是云应用的障碍。事实上，许多内部控制可以交叉应用到企业的云环境中。但是，企业了解云计算提供商使用的现有控制措施，以及它们如何与企业现有控制系统相关联是非常重要的。“

Steffen补充道，“这可能是企业需要进行一些小规模的程序变更，才能遵守云计算提供商使用的控制措施。但这也可能意味着企业以前的安全战略发生根本性转变。在选择云计算提供商或安全供应商之前执行合规控制评估是必须的。”

5.企业的工具和其他供应商集成在一起吗

Steffen表示：“特定的云计算提供商和他们正在使用的安全工具如何与企业使用的工具集成有很多工具可以很好地集成在一起，但是如果企业使用的安全工具集与外界不兼容，那么可能会很麻烦，可能需要寻找可与其他平台配合的平台和工具。因此，云计算提供商和安全供应商应提供与现有本地平台和工具的简单集成。”

6.企业需要了解自己的供应商

Steffen关于合规性和集成的建议给出一个提醒，企业保护其混合云环境在很大程度上取决于企业对所使用的平台的了解和理解。

Biscom公司首席执行官Bill Ho说，强大的云计算供应商实际上可以提供内部IT安全团队可能缺乏的专业知识。例如，他们可能会更好地实时监控潜在威胁，例如零日攻击。但这显然并不是给定的。

Bill Ho说，“与任何云计算服务一样，企业需要审核其提供商的资质。需要调查他们的认证，了解提供商的政策，了解开放企业网络的风险，并审查流程报告，例如SOC 2 Type II报告。”

7.混合模型的扩展通信

Goerlich说：“混合云带来了对通信方面的可扩展性问题。这又一次是缺乏可见性和所有权的副产品，并且在使用多云和多供应商策略的组织中尤其如此。”

清晰的沟通是强有力的安全态势的重要组成部分，特别是在涉及新的漏洞或攻击事件时。这是企业IT领导者需要充分解决的一个领域，不仅在内部部署，而且还包括供应商和其他第三方。

8. 进行持续的风险评估

企业从一开始就建立一个安全首要的混合云环境是很好的第一步，但它仍然只是第一步。 Goerlich指出，保护动态混合云环境需要持续的风险评估。

“组织识别漏洞和安全问题的另一种方法是通过风险评估，”Goerlich说。

他列举了三个例子：

供应商风险管理就像正在进行的尽职调查一样，“可以突出显示哪些供应商提供哪些服务，然后查询这些供应商的安全计划。”

软件组合分析可以“突出显示代码中的哪些第三方数据库可能会危害企业构建的应用程序。”

技术漏洞评估和渗透测试可“进一步了解当前的安全状况。由于混合云技术组织依赖的范围和规模，如今必须以分段的方式完成。”

保持安全性增长

随着企业的混合云策略不断增长，企业的安全规划也应随之变化。

“企业需要知道自己拥有什么，知道谁拥有它，谁可以访问它，有明确的沟通渠道，将其分解成细分市场，并进行风险评估。” Goerlich说：“一次做好一件事，企业可以通过专注于最重要的技术，即支持关键业务战略和功能的技术，并取得成功。随着混合云扩展企业消费的技术，企业的领导者也必须扩大安全领域的优先级和协作。”