對(duì)云安全發(fā)展持續(xù)數(shù)年的觀察可以發(fā)現(xiàn)，很多企業(yè)傾向于遵循一定的動(dòng)作模式來(lái)采納公共云計(jì)算，其經(jīng)歷的大致階段一般如下：

[[205058]]

1. 保守階段

這期間，CISO抗拒云計(jì)算，宣稱工作負(fù)載在公共云上得不到足夠的安全防護(hù)。這種行為在后來(lái)者或非常保守的公司中還時(shí)有發(fā)生，但云計(jì)算絕對(duì)在大多數(shù)大企業(yè)中起航了。換句話說(shuō)，CISO不能逃避面對(duì)云計(jì)算，相反，他們必須弄清楚如何保護(hù)基于云的工作負(fù)載，不管他們喜歡與否。

2. 傳統(tǒng)安全階段

當(dāng)企業(yè)開始試水公共云計(jì)算，安全團(tuán)隊(duì)偏向使用原有的內(nèi)部安全監(jiān)視和實(shí)施工具——防火墻、代理、反病毒軟件、網(wǎng)絡(luò)分析等等，來(lái)嘗試保護(hù)云工作負(fù)載。企業(yè)戰(zhàn)略集團(tuán)(ESG)2016年的研究表明，92%的企業(yè)一定程度上使用已有安全工具保護(hù)云安全。

這其中的問(wèn)題很明顯：傳統(tǒng)安全技術(shù)是為物理設(shè)備、內(nèi)部日志、以系統(tǒng)為中心的軟件和出/入站網(wǎng)絡(luò)流量設(shè)計(jì)的，并非公共云計(jì)算這種臨時(shí)架構(gòu)的專用技術(shù)。這一錯(cuò)位往往導(dǎo)致徹底的失敗——32%的企業(yè)因無(wú)法有效保護(hù)云安全而棄用傳統(tǒng)安全技術(shù)。

3. 云監(jiān)測(cè)階段

一旦企業(yè)越過(guò)用現(xiàn)有控制措施進(jìn)行云安全試驗(yàn)的階段，他們便傾向于擁抱那句管理老話：“你無(wú)法管理你不能測(cè)量的東西。”這一階段中，安全團(tuán)隊(duì)部署監(jiān)測(cè)工具，以獲得對(duì)云應(yīng)用、數(shù)據(jù)、工作負(fù)載，以及所有云資產(chǎn)間連接的完整視圖。這很有啟發(fā)性，因?yàn)闃O少有公司對(duì)云上發(fā)生事件有著清晰準(zhǔn)確完整的理解。

4. 云親和階段

有了全部云資產(chǎn)的完整視圖，智慧的安全團(tuán)隊(duì)就能確保進(jìn)一步的安全操作適配云計(jì)算“擁有者”——軟件開發(fā)人員、開發(fā)運(yùn)維員工、數(shù)據(jù)中心運(yùn)營(yíng)。目標(biāo)是?將安全技術(shù)整合進(jìn)開發(fā)模型、配置和Chef及Puppet之類編配工具中，讓安全可以跟上云計(jì)算的動(dòng)態(tài)本質(zhì)與速度。

注意，該階段略有點(diǎn)偏離純?cè)瓢踩O(jiān)測(cè)和策略實(shí)施，但主流企業(yè)宣稱，這是建立協(xié)作和安全***實(shí)踐的有價(jià)值偏離。

5. 云安全控制階段

自此，安全團(tuán)隊(duì)與云開發(fā)者和運(yùn)營(yíng)人員合作，向配置和運(yùn)營(yíng)中添加安全控制。安全傾向于從工作負(fù)載分隔開始，然后深入到更高級(jí)的控制(基于主機(jī)的安全、威脅檢測(cè)、誘騙等等)。

值得指出的是，有些創(chuàng)新云安全工具正在橋接控制階段和監(jiān)測(cè)階段。它們監(jiān)測(cè)云，梳理所有資產(chǎn)，然后基于應(yīng)用類型、數(shù)據(jù)敏感性或邏輯聯(lián)系，建議適用的策略。這一橋梁可真正幫助加速云安全策略管理。

6. 中心策略階段

***企業(yè)中才可領(lǐng)略到這一階段，但這預(yù)示著未來(lái)的導(dǎo)向。一旦企業(yè)習(xí)慣了軟件定義云安全技術(shù)的靈活性和動(dòng)態(tài)本質(zhì)，他們就會(huì)繼續(xù)深入到：

聚合云安全工具

比如說(shuō)，他們可能會(huì)選擇一款工具(不是2個(gè)專業(yè)工具)進(jìn)行微分隔和基于主機(jī)的控制。這可減少?gòu)?fù)雜性，提供中心策略和控制。

用軟件定義的工具替換掉傳統(tǒng)工具

比如，拋棄數(shù)據(jù)中心中的傳統(tǒng)防火墻，而用軟件定義的微分隔工具替代之。此種策略可在集中所有分隔策略的同時(shí)，帶來(lái)數(shù)百萬(wàn)美元的開支節(jié)省。已有一些企業(yè)網(wǎng)絡(luò)分隔項(xiàng)目開始這么做了，他們的目標(biāo)就是使用軟件定義的微分隔，來(lái)代替防火墻規(guī)則、基于交換機(jī)的訪問(wèn)控制列表(ACL)等等。野心勃勃?是的，但成功的項(xiàng)目可簡(jiǎn)化安全運(yùn)營(yíng)，剩下許多開支。

總結(jié)

企業(yè)規(guī)避死胡同，直接跳到云監(jiān)測(cè)階段，不失為明智的做法。這可以省去數(shù)月的挫折，幫助安全團(tuán)隊(duì)更快地趕上云用戶。對(duì)技術(shù)提供者而言，其目標(biāo)應(yīng)該是與強(qiáng)大的企業(yè)級(jí)中心管理功能整合的云安全技術(shù)組合。