現(xiàn)代企業(yè)基本沒有完全云端化或壓根兒不用云的，隨著幾乎每家公司都朝著在業(yè)務(wù)中引入云的方向發(fā)展，融合了云服務(wù)、云基礎(chǔ)設(shè)施和公司現(xiàn)場技術(shù)的混合環(huán)境，便是如今大多數(shù)公司的實(shí)際情況。

微軟《2017混合云情況》報(bào)告顯示，約2/3的公司承認(rèn)自身運(yùn)營在混合云環(huán)境上，另有18%的公司其IT環(huán)境可被歸類為混合云。

混合環(huán)境正在成為云的默認(rèn)用例，可以用“實(shí)用混合云”(公共云和私有云基礎(chǔ)設(shè)施的混合)這個(gè)詞來區(qū)分企業(yè)IT的混亂現(xiàn)狀與混合云的規(guī)范定義。并且有人認(rèn)為，實(shí)用混合云是當(dāng)前的趨勢。

融合了公司內(nèi)部網(wǎng)絡(luò)和云服務(wù)的IT環(huán)境一般都比較混亂，難以保證安全。專家稱，公司企業(yè)需抽象出一定的方法來保護(hù)其IT環(huán)境安全，并簡化基礎(chǔ)設(shè)施以方便安全措施的部署。下面列出的就是可以更好地防護(hù)混合環(huán)境的7個(gè)步驟：

1. 新建項(xiàng)目并進(jìn)行迭代

很多公司最大的混合云問題就是攤子鋪得太大，鋪得太快，造成安全被甩在身后望塵莫及的狀況。有些公司連試水過程都省了，直接全面鋪開，恨不得一口吃成胖子，結(jié)果卻是云項(xiàng)目開展得萬般掙扎。

比如說，管理層直接定調(diào)：我們要邁向云;然而，安全策略上的中央管理措施卻根本沒到位。其結(jié)果，只會是云項(xiàng)目演變?yōu)榫薮蠖舐囊粓F(tuán)糟。

最好是完全新建一個(gè)項(xiàng)目，而不是將原有內(nèi)部應(yīng)用轉(zhuǎn)移到云端。雖然很多云安全提供商關(guān)注資產(chǎn)盤點(diǎn)，但真的有可能發(fā)現(xiàn)公司的所有資產(chǎn)嗎?而且，作為起步工作，遷移原有應(yīng)用的工程量過于龐大了。

最明智的方法，莫過于從能搞定的工作量開始。

2. 別指望你的網(wǎng)絡(luò)和云是安全的

大多數(shù)公司已經(jīng)開始擔(dān)心數(shù)據(jù)在云端的安全程度了。但也正是這些公司，依然假定自己內(nèi)部基礎(chǔ)設(shè)施中的數(shù)據(jù)就不會遭到攻擊者染指。

然而，不得不承認(rèn)，攻擊者總會在某個(gè)時(shí)候進(jìn)入原以為安全的內(nèi)部網(wǎng)絡(luò)的。

公司企業(yè)在安全認(rèn)知上的最大錯(cuò)誤，就是以為內(nèi)部環(huán)境是安全的。這一點(diǎn)已經(jīng)被Equifax、塔吉特等公司證明過了。

當(dāng)人們認(rèn)為自己運(yùn)營在混合環(huán)境中時(shí)，他們就已經(jīng)偏離了正確的認(rèn)知路線。正確的假定應(yīng)該是：我擁有的所有東西都暴露在互聯(lián)網(wǎng)面前，必須在零信任環(huán)境中運(yùn)營。

零信任思維應(yīng)在應(yīng)用程序上有所反映，所有應(yīng)用程序都應(yīng)驗(yàn)證來自其他App的全部通信。

3. 重點(diǎn)保護(hù)最重要的資產(chǎn)——數(shù)據(jù)

隨著設(shè)備的激增，業(yè)務(wù)數(shù)據(jù)可存儲的地點(diǎn)數(shù)量也呈指數(shù)級上漲，從40年前的大型機(jī)，到30年前的PC，到最近10年的移動(dòng)設(shè)備和云。

然而，數(shù)據(jù)還是那些數(shù)據(jù)，無論數(shù)據(jù)位于何處，必須保證數(shù)據(jù)安全，壞人對數(shù)據(jù)的覬覦之心從未減弱過。

很多公司試圖通過網(wǎng)絡(luò)控制限制對信息的訪問，以保護(hù)數(shù)據(jù)安全。但在混合環(huán)境下，以網(wǎng)絡(luò)為中心的模式毫無意義。

必須專注于真正關(guān)心的東西，也就是數(shù)據(jù)。數(shù)據(jù)才是公司最重要的資產(chǎn)，網(wǎng)絡(luò)和設(shè)備都不是最重要的，你的數(shù)據(jù)才是。最好的CISO會假定整個(gè)環(huán)境都已被感染，在這種前提下進(jìn)行數(shù)據(jù)防護(hù)。

4. 簡化身份并使用單點(diǎn)登錄技術(shù)

員工在工作中平均使用36個(gè)云服務(wù)。想要減少公司混合云和內(nèi)部環(huán)境中的復(fù)雜性，就應(yīng)該盡可能地整合這些身份。

大多數(shù)云提供商，比如AWS和微軟的Azure，都提供整合用戶身份的途徑。身份管理提供商也會給用戶統(tǒng)一的門戶來接入各個(gè)企業(yè)服務(wù)。這些功能都可以讓公司企業(yè)規(guī)范其訪問控制。

聯(lián)合身份無疑非常重要。你或許不會想做什么瘋狂的舉動(dòng)，但一定會想買個(gè)聯(lián)合身份代理。大多數(shù)人都希望能從一個(gè)Web門戶登入其環(huán)境。

不過，別指望將內(nèi)部身份與云身份捆綁到一起，除非有什么簡易的措施。內(nèi)部應(yīng)用依然保持內(nèi)部，用一直以來的方式管理就行。

5. 以可見性來安全有效地管理云

除了整合身份和保持一致的數(shù)據(jù)防護(hù)，公司企業(yè)還需知曉各種應(yīng)用連接工作流的方式，也就是擁有對連接的可見性。

知道誰在哪些數(shù)據(jù)上執(zhí)行什么工作負(fù)載，可以提升對整個(gè)基礎(chǔ)設(shè)施的管理水平，并注意到潛在的安全問題。

這可能是其中最難以把握的一點(diǎn)了，但是公司企業(yè)必須獲得對連接的可見性。

可以借助日志文件收集與處理自動(dòng)化，來提升該可見性。不過，即便如此，也是不太可能觀測到企業(yè)網(wǎng)絡(luò)和云基礎(chǔ)設(shè)施上的所有事的。

這是與普通意義上的可見性不同。你不可能隨時(shí)坐那兒監(jiān)視你全部的網(wǎng)絡(luò)流量。

6. 精煉策略并識別規(guī)則破壞者

隨著用戶身份的唯一化，隨著每次云項(xiàng)目迭代帶來的更多可見性，公司應(yīng)逐漸將重心放到精煉其策略上來。通過在云端和內(nèi)部架構(gòu)上應(yīng)用統(tǒng)一的策略集，IT安全團(tuán)隊(duì)可在較高層級簡化安全視圖。

也就是說，你定義策略時(shí)不用考慮數(shù)據(jù)存儲位置，只需將策略映射到特定的服務(wù)或存儲媒介。通過Exchange共享的數(shù)據(jù)和通過Slack共享的數(shù)據(jù)會有不同的規(guī)則，但策略是一致的。

這些策略連同增加的可見性，還給了公司捕獲異常行為的機(jī)會。IT安全團(tuán)隊(duì)可以通過設(shè)置規(guī)則和查找惡意行為來檢測攻擊，在攻擊者造成傷害之前就將其揪出來。

7. 用指標(biāo)來降低復(fù)雜度并促進(jìn)管理

想要改善每個(gè)云項(xiàng)目每次迭代的安全，公司企業(yè)就要有可衡量其所做工作有效性的數(shù)據(jù)。如何衡量成功非常重要。對云安全來說，可以簡化成使用了多少個(gè)云服務(wù)和這些云服務(wù)有多少是被安全策略覆蓋的。

沒有指標(biāo)，就談不上混合基礎(chǔ)設(shè)施的管理。這與每個(gè)駕駛員都需要儀表盤來告訴自己車輛行駛狀況一樣。隨著公司云項(xiàng)目的擴(kuò)張，可見性的重要性也隨之增加。復(fù)雜性問題只會越來越嚴(yán)重。因此，公司企業(yè)和政府機(jī)構(gòu)最好在復(fù)雜性問題不可收拾之前找到應(yīng)對之策。