【51CTO.com快譯】AWS長期統(tǒng)治著云業(yè)務領域，但考慮到愈發(fā)復雜的具體業(yè)務需求(包括管理風險與成本等因素)，企業(yè)客戶通常有必要同時選擇多家云服務供應商。另外，多家云服務商相配合往往能夠帶來最理想的整體云成本水平。

但在運行多云環(huán)境并享受相關優(yōu)勢的同時，我們也有必要采取適當的安全措施以實現保障能力。下面，我們首先從三大公有云巨頭入手，逐步開啟今天的議題。

公有云市場三大巨頭

目前公有云市場由三大巨頭把持，分別為AWS、微軟Azure以及Google Cloud Platform。AWS參與最早且份額最高(達57%)，微軟份額為34%，而谷歌則把持著15%。

運行在多云環(huán)境下實現安全保障

[[197760]]

1. 避免Shadow Ops

只有企業(yè)內各個部門都認同多云環(huán)境帶來的收益，才能真正發(fā)揮積極作用。然而，您可能面對著大量分散在AWS、Azure以及谷歌平臺中的實例，并由DevOps團隊負責根據具體情況對其加以使用。

在這種情況下，企業(yè)的安全性顯然將受到嚴重影響。根據Gartner在2017年安全與風險管理峰會上得出的結論，到2020年，將有三分之一企業(yè)的IT資源遭遇攻擊影響。因此，無論您所在的企業(yè)決定選用單一云供應商還是分散式基礎設施，請確保每位成員都了解相關實例以及對應的安全最佳實踐。這是解決Shadow Ops難題并提升整體安全水平的唯一途徑。

2. 優(yōu)先實現可見性

無論選擇怎樣的云平臺，您都應確保對全部實例擁有可見能力。在理想情況下，您應對具體可見性進行優(yōu)先級排序，并將其引入工作負載層。

單純依靠基于簽名的監(jiān)控機制還遠遠不夠，我們應當專注于通過基于行為型監(jiān)控提升可見能力。具體來講，我們應在全部實例當中引入行為監(jiān)控手段，以快速發(fā)現異常行為。

您的安全解決方案應具備以下能力：

識別不受信的系統(tǒng)修改。

通過用戶及進程行為監(jiān)控捕捉威脅活動。

立即檢測異常的用戶、進程與文件活動。

只要擁有這樣完善的可見能力，那么具體使用AWS、Azure或是谷歌云將不再重要——您仍能夠保障運行安全。

3. 遵循最佳實踐

每種云平臺都擁有自己的最佳實踐。因此如果您計劃在多種平臺上運行實例，請確保遵循與之對應的最佳實踐。盡管三大巨頭皆提供有所差別的最佳實踐清單，但其中仍存在著一些普適性的標準：

隨時了解您的環(huán)境內正在發(fā)生什么。

設置警報(按嚴重性排序)以通知您與策略相沖突的行為。

滿足并高于合規(guī)性要求。

保持良好習慣：及時更新并安裝補丁。

云服務供應商進行最佳實踐共享的作法值得提倡，因為他們比任何人都更了解自己的技術方案，有責任教育并支持客戶。

4. 關注自動化

人總是會犯錯，Gartner認為到2020年，95%的云安全事故都源自客戶的錯誤。在安全方面，人為錯誤可能引發(fā)各類風險，而依靠機器自動執(zhí)行常規(guī)重復性任務則能夠有效提升安全水平——特別是在多云環(huán)境當中。

我們建議您利用自動化方案進行安全設計，具體指導方針包括：

更新您的云治理規(guī)則。

了解共同責任模式。

采取持續(xù)性風險治理方法。

云環(huán)境能夠幫助您的DevOps團隊實現工作提速，并憑借著持續(xù)集成與持續(xù)開發(fā)周期帶來顯著的競爭優(yōu)勢。然而，云環(huán)境同樣有可能引發(fā)風險，因此您必須利用自動化方案有效管理一切安全最佳實踐，進而將出現錯誤的可能性控制在最低水平。

5. 堅持共同責任模式

最后，請確保充分理解共同責任模式。具體來講，盡管AWS、谷歌與微軟肩負著保護云環(huán)境自身的責任，但作為客戶的您則需要保證您的應用程序、數據以及其它存在于云環(huán)境內的系統(tǒng)得到充分保護。如果有人在無需權限的情況下登錄生產環(huán)境并引發(fā)風險，那么這部分責任將完全由您承擔。因此，請確保充分理解這種新的責任分攤方式，并堅持加以貫徹。

結語

毫無疑問，我們能夠看到越來越多的企業(yè)立足云平臺進行市場競爭，令人非常振奮。而且雖然AWS擁有明顯優(yōu)勢，但多元化的云服務選項讓企業(yè)客戶迎來更加豐富的解決方案思路。

只要您始終高度關注安全最佳實踐，同時采取措施以確保云環(huán)境的可見性，那么您將能夠全面享受公有云帶來的優(yōu)勢，且不會因任何潛在安全缺陷而導致業(yè)務受損。

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】