混合云安全已經(jīng)經(jīng)過一段時(shí)間的發(fā)展。云計(jì)算帶來了各種維度，這些維度需要一種方法來擴(kuò)展當(dāng)前的政策、實(shí)踐和技能。必須采取以企業(yè)為中心的視圖，以實(shí)現(xiàn)集中可見性、保護(hù)控制和控制風(fēng)險(xiǎn)。

1.安全策略

擁有私有云和公共云環(huán)境(混合云和多云)的企業(yè)應(yīng)明確定義云安全策略以監(jiān)控和執(zhí)行保護(hù)控制。該政策應(yīng)涵蓋監(jiān)管合規(guī)要求(例如 PCI、HIPAA、ISO、FFIEC、GDPR、政府或國家級要求等)、企業(yè)控制、數(shù)據(jù)駐留、隱私評估的需求。

他們應(yīng)根據(jù)云服務(wù)提供商定義的共享責(zé)任模型和必須納入的客戶團(tuán)隊(duì)責(zé)任來確定覆蓋范圍。監(jiān)管政策不斷變化，企業(yè)風(fēng)險(xiǎn)和合規(guī)團(tuán)隊(duì)必須監(jiān)控、評估和整合這些變化。

2.網(wǎng)絡(luò)彈性計(jì)劃

企業(yè)還應(yīng)將其網(wǎng)絡(luò)彈性計(jì)劃擴(kuò)展到云。他們必須考慮針對云環(huán)境的額外響應(yīng)方案。風(fēng)險(xiǎn)管理人員應(yīng)在計(jì)劃中包括頻繁的進(jìn)攻性測試、桌面練習(xí)、員工教育，并將所有云環(huán)境納入其中。

3.安全互連

擁有多個(gè)私有數(shù)據(jù)中心設(shè)施的企業(yè)將通過支持電信的網(wǎng)絡(luò)連接在它們之間實(shí)現(xiàn)安全連接。強(qiáng)烈建議從數(shù)據(jù)中心擴(kuò)展支持電信的連接，利用云原生連接，例如(直接連接、快速路由)以及 Equinix 等互連位置。

連接方法將支持私有云和公共云之間的安全傳輸。在互連處啟用深度數(shù)據(jù)包檢查可以提供額外的保證，以監(jiān)控和管理受信任和不受信任區(qū)域之間的連接和流量管理。

通過這種方法，通過企業(yè)標(biāo)識和訪問管理工具擴(kuò)展用戶訪問權(quán)限將得到簡化。對漫游用戶連接到云和私有云環(huán)境的額外監(jiān)控將加強(qiáng)企業(yè)監(jiān)控。
 
4.保護(hù)控制平面

云服務(wù)提供商控制平面或門戶是風(fēng)險(xiǎn)面之一。主賬戶和其他高級特權(quán)賬戶可以訪問在云本地啟用的計(jì)算、存儲元素、數(shù)據(jù)、格式模板、安全性和合規(guī)性配置。

對控制平面擁有更高權(quán)限的用戶可以在移動(dòng)部門或離開公司時(shí)擁有相同的訪問權(quán)限。如果用戶是惡意的或意外刪除、修改了基于云的資產(chǎn)，對用戶的這種訪問可能會(huì)使企業(yè)面臨風(fēng)險(xiǎn)。

企業(yè)應(yīng)該了解所有簽約的云服務(wù)提供商和相關(guān)的控制平面。風(fēng)險(xiǎn)管理人員應(yīng)保管云服務(wù)提供商提供的主帳戶。安全管理人員應(yīng)僅通過公司 ID 嚴(yán)格管理啟用具有較高權(quán)限的個(gè)人。

用戶的入職和離職必須按照安全策略的定義進(jìn)行管理。積極就業(yè)和持續(xù)業(yè)務(wù)需要訪問，或者提升特權(quán)必須經(jīng)常審查。強(qiáng)烈建議使用多因素身份驗(yàn)證并擴(kuò)展到企業(yè)身份以降低風(fēng)險(xiǎn)。

也建議使用 Privileged-id 管理和監(jiān)控其使用情況，以跟蹤用戶行為并防止對云資源的無意刪除或修改。

5.保護(hù)數(shù)據(jù)平面

除了支持第三方供應(yīng)商提供商安全工具之外，云服務(wù)提供商還支持原生云安全功能。每個(gè)云服務(wù)提供商都在這些功能上都有細(xì)微差別;它們被深入到工作負(fù)載部署方法的自動(dòng)化過程中。

迄今為止發(fā)生的大多數(shù)數(shù)據(jù)泄露事件都是云配置錯(cuò)誤造成的。VPC、安全組、IAM 控制、密鑰管理服務(wù)等功能的配置由客戶端負(fù)責(zé)。

它們必須根據(jù)工作負(fù)載部署進(jìn)行適當(dāng)設(shè)計(jì)，并持續(xù)監(jiān)控與設(shè)計(jì)標(biāo)準(zhǔn)的任何偏差，并應(yīng)立即采取糾正措施。

云原生安全功能是服務(wù)提供商支持的類似產(chǎn)品的特性。這些是云環(huán)境結(jié)構(gòu)的一部分。需要專業(yè)的云服務(wù)提供商知識來啟用、創(chuàng)建、執(zhí)行策略并持續(xù)監(jiān)控它們。所以建議對應(yīng)用程序開發(fā)和安全團(tuán)隊(duì)的技能開發(fā)進(jìn)行投資。

6.衛(wèi)生監(jiān)控和補(bǔ)救

缺乏基本衛(wèi)生是利用混合多云環(huán)境的企業(yè)的最高風(fēng)險(xiǎn)因素。衛(wèi)生的定義范圍從識別為 COTS 軟件(操作系統(tǒng)、應(yīng)用程序、中間件)的一部分的漏洞、自定義應(yīng)用程序、訪問管理控制、根據(jù)公司安全策略進(jìn)行的系統(tǒng)強(qiáng)化。

作為公司政策的一部分，應(yīng)根據(jù)基于風(fēng)險(xiǎn)的漏洞排名持續(xù)監(jiān)控衛(wèi)生狀況和適當(dāng)?shù)穆┒垂芾?、對零日漏洞?shí)施二級控制、識別操作系統(tǒng)上的偏差、應(yīng)用程序級強(qiáng)化并通過自動(dòng)化立即修復(fù)它們。

7.集成的安全和合規(guī)管理

云控制平面、工作負(fù)載、應(yīng)用程序的安全和合規(guī)是相互交織的。必須以自動(dòng)化和集成的方式監(jiān)控和評估本機(jī)到云配置和工作負(fù)載配置的所有資產(chǎn)、合規(guī)性狀況。監(jiān)控、漂移分析并利用補(bǔ)救措施來保護(hù)環(huán)境，同時(shí)利用補(bǔ)救措施來證明環(huán)境的合規(guī)性狀態(tài)。

8.“關(guān)鍵資產(chǎn)”的發(fā)現(xiàn)和保護(hù)

客戶必須了解關(guān)鍵資產(chǎn)，并對其進(jìn)行分類。隨著企業(yè)利用混合多云環(huán)境來支持他們的工作負(fù)載，也可以通過云訪問核心數(shù)據(jù)和關(guān)鍵客戶數(shù)據(jù)。

客戶需要發(fā)現(xiàn)這些資產(chǎn)的使用情況，啟用額外的全天候監(jiān)控和管理措施，例如安全訪問、傳輸、監(jiān)控和管理云配置、防止數(shù)據(jù)丟失以保護(hù)和防止任何對核心數(shù)據(jù)的入侵和數(shù)據(jù)泄露。

9.企業(yè)安全可見性和響應(yīng)

對于具有混合環(huán)境工作負(fù)載(VM、基于容器的工作負(fù)載、無服務(wù)器功能)的企業(yè)客戶，用戶活動(dòng)和數(shù)據(jù)移動(dòng)發(fā)生在私有到云、多云環(huán)境之間。通常，云服務(wù)提供商支持對云中的工作負(fù)載、用戶活動(dòng)和本機(jī)服務(wù)進(jìn)行日志記錄和遙測。

必須使用 SIEM 或安全分析工具將基于云的遙測集成到私有和多云遙測中。通過安全分析工具應(yīng)用的關(guān)聯(lián)規(guī)則將識別異?；顒?dòng)、配置偏差、對用戶或基于云的配置的過多權(quán)限以及數(shù)據(jù)泄露等。

監(jiān)控工具成為單一窗口，為混合多云環(huán)境提供企業(yè)可見性。通過響應(yīng)自動(dòng)化平臺或云原生功能實(shí)現(xiàn)自動(dòng)化執(zhí)行策略將有助于立即進(jìn)行保護(hù)并將風(fēng)險(xiǎn)降至最低。

10.影子 IT 和影子數(shù)據(jù)的可見性和保護(hù)

訪問云控制平面可幫助用戶靈活地以云速度部署工作負(fù)載。標(biāo)準(zhǔn)工作負(fù)載保護(hù)、衛(wèi)生控制、強(qiáng)化、網(wǎng)絡(luò)安全、云原生配置可能不會(huì)作為工作負(fù)載部署的一部分啟用。

未經(jīng)適當(dāng)分類、駐留監(jiān)控、隱私評估而存儲在不同云服務(wù)中的數(shù)據(jù)會(huì)導(dǎo)致更高的安全風(fēng)險(xiǎn)，并可能使客戶面臨適用于 GDPR 的罰款。

在沒有適當(dāng)監(jiān)控的情況下實(shí)施 IT 并將數(shù)據(jù)從私有環(huán)境移動(dòng)到公共環(huán)境會(huì)產(chǎn)生影子 IT 和影子數(shù)據(jù)。影子IT通常成為入侵者利用系統(tǒng)進(jìn)行攻擊的最脆弱攻擊面，并將其用作通過合法連接進(jìn)一步擴(kuò)展到客戶端混合環(huán)境的途徑，或使用這些系統(tǒng)發(fā)起外部攻擊。

客戶應(yīng)該有一個(gè)企業(yè)安全策略來啟動(dòng)具有基本保護(hù)和衛(wèi)生控制的工作負(fù)載。安全監(jiān)控和管理工具應(yīng)通過全天候監(jiān)控和自動(dòng)響應(yīng)系統(tǒng)檢測并防止影子 IT 和數(shù)據(jù)。

安全管理者應(yīng)強(qiáng)制執(zhí)行編排器、代理、具有內(nèi)置安全和合規(guī)技術(shù)的形成模板、策略監(jiān)控和管理服務(wù)，以使用戶遵循公司標(biāo)準(zhǔn)并將其鏈接到全天候的監(jiān)控和管理。

11.監(jiān)控自動(dòng)化

使用形成模板進(jìn)行自動(dòng)化部署，使用云服務(wù)提供商功能、元服務(wù)、API、微服務(wù)、訪問分配和密鑰監(jiān)控和管理云原生的工作負(fù)載是云結(jié)構(gòu)的一部分。

建議企業(yè)為這些服務(wù)啟用審計(jì)日志記錄。安全運(yùn)營管理者應(yīng)將來自這些來源的遙測數(shù)據(jù)匯總到支持云服務(wù)提供商的安全分析平臺或客戶端 SIEM，以檢測和管理異?；顒?dòng)。

利用自動(dòng)化來監(jiān)控和管理自動(dòng)化。利用 SRE、Chaos Monkey、滲透測試等技術(shù)不斷檢查自動(dòng)化和實(shí)用程序。

12.左移

創(chuàng)新、應(yīng)用程序現(xiàn)代化、快速應(yīng)用程序開發(fā)和部署的發(fā)生主要?dú)w功于業(yè)務(wù)部門決策和負(fù)責(zé)BU的 DevOps 團(tuán)隊(duì)。

DevOps 團(tuán)隊(duì)主要專注于通過云可用功能、開源實(shí)用程序、采用持續(xù)集成/持續(xù)交付工具來改進(jìn)應(yīng)用程序增強(qiáng)。綜合安全性和合規(guī)性尚未考慮或納入該方法。

DevOps 團(tuán)隊(duì)還可能假設(shè)云提供的基礎(chǔ)架構(gòu)足以保證安全，并且主要集中在應(yīng)用層控制上。在工作負(fù)載分析期間，建議企業(yè)了解新構(gòu)建或?qū)⒐ぷ髫?fù)載遷移到云的應(yīng)用程序安全性、公司合規(guī)性、法規(guī)合規(guī)性和隱私要求?？蛻舯仨氃u估共享責(zé)任，即作為云的一部分內(nèi)置，由客戶添加以滿足需求。

部署在公共云中的工作負(fù)載必須利用云配置、原生云安全功能或第三方供應(yīng)商產(chǎn)品來保護(hù)，即使在開發(fā)/測試/預(yù)生產(chǎn)模式下也是如此。

13.人與文化

只有當(dāng)人的文化、流程和工具得到增強(qiáng)并適應(yīng)采用云環(huán)境帶來的細(xì)微差別時(shí)，以上所有才可能實(shí)現(xiàn)。開發(fā)人員應(yīng)采用安全設(shè)計(jì)或威脅建模概念來識別生命周期早期的漏洞，以便他們可以在部署易受攻擊的應(yīng)用程序之前對其進(jìn)行補(bǔ)救。堅(jiān)持嚴(yán)格的衛(wèi)生和謹(jǐn)慎使用云配置將有助于團(tuán)隊(duì)避免意外的數(shù)據(jù)泄露。

14.專注于技能提升

云和云安全為行業(yè)現(xiàn)有的技能差距帶來了另一個(gè)維度。在整合云配置、利用本地到云提供的安全功能時(shí)，需要具備深厚的云服務(wù)提供商環(huán)境專業(yè)知識。

進(jìn)入云計(jì)算領(lǐng)域的企業(yè)應(yīng)該投資于提高現(xiàn)有員工的技能，或者通過計(jì)劃來獲取技能熟練的員工，以規(guī)劃的方式將他們整合到當(dāng)前的團(tuán)隊(duì)中。

必須向團(tuán)隊(duì)提供適當(dāng)?shù)呐嘤?xùn)，讓他們在利用特定云服務(wù)提供商標(biāo)準(zhǔn)的同時(shí)，利用企業(yè)定義的標(biāo)準(zhǔn)。

通過應(yīng)用這些指導(dǎo)原則，大多數(shù)風(fēng)險(xiǎn)都會(huì)得到緩解。隨著混合云的進(jìn)一步發(fā)展，可以在這些基本原則的基礎(chǔ)上構(gòu)建其他原則。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。
 

更多相關(guān)內(nèi)容推薦：
企業(yè)組網(wǎng)的首選方案SD-WAN
sdwan和專線混合組網(wǎng)模式，不只是節(jié)約成本那么簡單
SD-WAN 的演進(jìn)，推動(dòng)云網(wǎng)融合進(jìn)一步發(fā)展
SD-WAN 主要的三種典型應(yīng)用場景：云網(wǎng)融合、多點(diǎn) VPN、邊緣計(jì)算