多云環(huán)境是由不止一家云服務(wù)提供商組成的云環(huán)境。涉及多家基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商的環(huán)境就是一種簡單的多云環(huán)境。

[[241690]]

舉個例子，云環(huán)境中的一些服務(wù)器和物理網(wǎng)絡(luò)由AWS提供，但可以將之與微軟Azure提供的服務(wù)器和物理網(wǎng)絡(luò)集成。不同云服務(wù)提供商的產(chǎn)品和服務(wù)可能略有差異，正好各取其長，互為補充。

另一類多云環(huán)境，是將某云提供商的軟件即服務(wù)(SaaS)或平臺即服務(wù)(PaaS)與你自身的基礎(chǔ)設(shè)施或另一家供應(yīng)商的IaaS結(jié)合。

無論采取哪種形式，都涉及到將一家公司的技術(shù)和服務(wù)與其他公司的技術(shù)和服務(wù)混搭。這或許是滿足公司企業(yè)特定云需求最有效的方式了。

但讓所有這些各不相同的實體協(xié)同一致地工作需要一點精心細致的努力。而恰當?shù)丶訌姶祟惗鄻踊骗h(huán)境的安全，本身也存在諸多挑戰(zhàn)!每個供應(yīng)商都有各自的策略和網(wǎng)絡(luò)安全措施。

但我們還是有可能部署出合規(guī)友好且相當安全的多云環(huán)境的。在部署的時候記得下面8條***實踐就好。

多云環(huán)境安全***實踐

1. 了解共享安全模型的應(yīng)用方式

通常，云提供商要對自身基礎(chǔ)設(shè)施的安全負責，還應(yīng)為企業(yè)提供保護所存數(shù)據(jù)所需的某些功能，比如多因子身份驗證方法、加密技術(shù)，以及身份與訪問管理(IAM)。

公司要對自身在云提供商基礎(chǔ)設(shè)施中的數(shù)據(jù)使用負責。無論是自家公司開發(fā)的軟件，還是購自第三方的軟件，都應(yīng)打全補丁，強化安全。

雇員在數(shù)據(jù)使用上應(yīng)遵守公司的信息安全策略。部署虛擬機和自有必備安全控制措施的大權(quán)掌握在你自己手里。這些都是企業(yè)的責任。

2. 仔細甄選云供應(yīng)商

全面了解提供商的產(chǎn)品和服務(wù)的各項功能，并觀察提供商自身的網(wǎng)絡(luò)安全策略。要對企業(yè)現(xiàn)在正在部署和將來可能部署的云提供商有著深入理解。你的網(wǎng)絡(luò)員工及安全員工，還有與云環(huán)境互動的所有其他利益相關(guān)者，都應(yīng)了解企業(yè)所用云提供商服務(wù)的細節(jié)，并參與到云提供商選擇決策過程中來。

3. 了解需要持續(xù)監(jiān)視的賬戶和部署區(qū)域

想要維護好共享安全模型中屬于本公司的那部分責任，就得了解那些需要持續(xù)監(jiān)視的賬戶和部署區(qū)域。只有充分了解了這些賬戶和區(qū)域，才能合理部署IDS和IPS設(shè)備，分析這些設(shè)備的日志，或者將之托管給可信第三方，讓他們向你通報網(wǎng)絡(luò)情況。

4. 理解應(yīng)用程序在多云環(huán)境中的運作機理

深入理解企業(yè)的應(yīng)用程序在多云環(huán)境中到底是怎么運作的。確保云環(huán)境中的所有實體都能與公司的各種云工具協(xié)同工作。云應(yīng)用的配置和部署都是獨特的，有它們自己特定的安全需求。

5. 建立漏洞與暴露(VnE)管理器

得慎重考慮VnE管理器的部署位置，以便它們能有效地收集所需數(shù)據(jù)。不妨問問自己這幾個問題：現(xiàn)場環(huán)境應(yīng)不應(yīng)該放一個?要放到某個云環(huán)境中嗎?每個云環(huán)境是不是都得部署一個才可以收集到準確的數(shù)據(jù)?怎么做才最適合漏洞掃描需求?

6. 確保能夠遠程掃描你的公共云

因為它們并沒有在你的管區(qū)之內(nèi)。在企業(yè)的公共云環(huán)境中啟用遠程掃描設(shè)備探查器虛擬鏡像。

7. 經(jīng)常評估多云環(huán)境的安全情況

因為企業(yè)的基礎(chǔ)設(shè)施和軟件，還有網(wǎng)絡(luò)威脅環(huán)境，都會隨時間而改變，所以必須經(jīng)常性評估多云環(huán)境的安全情況。安全測試員提供的任何緩解指令都應(yīng)被實施。正如安全大師布魯斯·施奈爾所言，安全是個過程，不是產(chǎn)品!

8. 云服務(wù)本身也應(yīng)評估安全狀況

Tripwire的云管理評估器( Cloud Management Assessor )如今既支持AWS也支持微軟Azure。請確保所用技術(shù)的配置是安全的，并監(jiān)視可能導(dǎo)致漏洞的修改。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文