越來(lái)越多的企業(yè)如今正在采用多云策略，但這將帶來(lái)他們無(wú)法預(yù)料的安全挑戰(zhàn)。為此，需要了解如何解決常見(jiàn)的多云安全策略問(wèn)題。

[[333591]]

通過(guò)采用正確的計(jì)劃，管理多云安全架構(gòu)將比許多人認(rèn)為得更加容易。制定云計(jì)算安全集成計(jì)劃必須克服某些挑戰(zhàn)。其中一個(gè)挑戰(zhàn)是建立一致的跨云安全策略，該策略不僅涵蓋初始部署，而且還涵蓋由可用安全工具和服務(wù)支持的安全策略的持續(xù)維護(hù)。

企業(yè)的業(yè)務(wù)在多云環(huán)境中工作時(shí)，可以在所有的公共云和私有云集中管理安全工具以及工具中創(chuàng)建的策略。然而，不能保證這些工具在第三方云計(jì)算基礎(chǔ)設(shè)施中是優(yōu)秀的甚至可用的。因此，選擇符合企業(yè)內(nèi)部部署安全標(biāo)準(zhǔn)的工具和策略非常重要，并需要提供在每個(gè)云計(jì)算基礎(chǔ)設(shè)施中一致運(yùn)行的靈活性。

多云架構(gòu)的集中可見(jiàn)性和監(jiān)視是另一個(gè)挑戰(zhàn)。根據(jù)業(yè)務(wù)所依賴(lài)的公共云和私有云，每種云平臺(tái)都將提供不同級(jí)別的可見(jiàn)性。此外，許多內(nèi)部部署工具可能無(wú)法提供其慣用的必要監(jiān)視級(jí)別。這種可見(jiàn)性的缺失將會(huì)造成漏洞，將給企業(yè)業(yè)務(wù)帶來(lái)威脅。

同樣，從網(wǎng)絡(luò)和安全角度來(lái)看，多云架構(gòu)將會(huì)增加復(fù)雜性?？赡軙?huì)發(fā)生安全策略和工具錯(cuò)誤配置或誤讀。諸如多云管理或網(wǎng)絡(luò)覆蓋之類(lèi)的現(xiàn)代平臺(tái)可以幫助減少在跨多個(gè)云計(jì)算基礎(chǔ)設(shè)施創(chuàng)建和推送安全策略時(shí)出現(xiàn)人為錯(cuò)誤的機(jī)會(huì)，但是這些工具增加了復(fù)雜性，從而導(dǎo)致其他安全錯(cuò)誤。比較好的建議是企業(yè)在考慮與其計(jì)劃合作的云計(jì)算提供商時(shí)，需要正確評(píng)估所涉及的風(fēng)險(xiǎn)，以及提供工作人員管理跨云平臺(tái)安全架構(gòu)的能力。

在多云環(huán)境中保持安全可見(jiàn)性

在多云環(huán)境中保持可見(jiàn)性是安全基礎(chǔ)設(shè)施架構(gòu)的關(guān)鍵部分。在理想情況下，可見(jiàn)性應(yīng)擴(kuò)展到網(wǎng)絡(luò)級(jí)別。有幾種工具(所有這些工具都可以集中管理)可用于提供多云的可見(jiàn)性。多年來(lái)，安全事件和事件管理(SIEM)工具提供了大部分可見(jiàn)性。但是，SIEM工具嚴(yán)重依賴(lài)于日志數(shù)據(jù)，這取決于云計(jì)算服務(wù)提供商的不同級(jí)別的粒度。因此，通過(guò)使用SIEM工具的可見(jiàn)性可能不會(huì)像某些人想象得那樣有效。

與其相反，網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)這個(gè)IT安全的新興領(lǐng)域可能更適合于在混合網(wǎng)絡(luò)和多云網(wǎng)絡(luò)之間提供必要的可見(jiàn)性。NDR通過(guò)從企業(yè)網(wǎng)絡(luò)中各個(gè)平臺(tái)(包括私有云和公共云)中提取網(wǎng)絡(luò)遙測(cè)數(shù)據(jù)來(lái)監(jiān)視流量。數(shù)據(jù)是從包括NetFlow、深度數(shù)據(jù)包檢查和其他流網(wǎng)絡(luò)遙測(cè)在內(nèi)的資源獲取的。然后將數(shù)據(jù)發(fā)送到分析工具，在分析工具中將數(shù)據(jù)解碼并整合在一起，以準(zhǔn)確了解網(wǎng)絡(luò)上的設(shè)備以及通話的對(duì)象。在完成之后，就會(huì)形成流量基線，并從安全角度分析流量，以識(shí)別流量模式異常、次優(yōu)性能指標(biāo)，以及與已知和未知威脅的匹配。

從多云可見(jiàn)性的角度嚴(yán)格來(lái)看，可以在IaaS云平臺(tái)中部署NDR平臺(tái)，以自動(dòng)創(chuàng)建網(wǎng)絡(luò)可見(jiàn)性地圖，以識(shí)別所有網(wǎng)絡(luò)組件和連接的服務(wù)器設(shè)備。此外，該工具還顯示了服務(wù)器設(shè)備與其他設(shè)備之間的交互作用。這正是安全管理員所追求的細(xì)節(jié)級(jí)別，它的另一個(gè)優(yōu)勢(shì)是使用單一平臺(tái)在一個(gè)集中的平臺(tái)中監(jiān)控所有內(nèi)部部署和公共云資源。

組織應(yīng)如何應(yīng)對(duì)多云安全性?

多云安全的總體目標(biāo)是可以統(tǒng)一管理的統(tǒng)一的安全工具、流程和程序。對(duì)于收購(gòu)其他公司的組織的IT人員來(lái)說(shuō)，可能會(huì)對(duì)如何實(shí)現(xiàn)多云安全性有了一定的了解。例如，在收購(gòu)方案中，被收購(gòu)的企業(yè)可能具有自己的(可能與其他情況不同)網(wǎng)絡(luò)、服務(wù)器和應(yīng)用程序基礎(chǔ)設(shè)施，必須使用它們來(lái)適應(yīng)母公司的數(shù)據(jù)安全級(jí)別。因此，第一步是其工作人員確保完全了解要使用的新基礎(chǔ)設(shè)施。這項(xiàng)調(diào)查的結(jié)果將顯示新基礎(chǔ)設(shè)施與其現(xiàn)有的基礎(chǔ)設(shè)施之間的差距，這與檢查新的公共云架構(gòu)時(shí)采用的方法完全相同。

下一步是檢查組織的內(nèi)部安全工具、流程和管理程序，以查看其中哪些將輕松適合新的基礎(chǔ)設(shè)施，哪些將需要修改或放棄，以支持適用于多云平臺(tái)中所有的云計(jì)算環(huán)境。這可能會(huì)很棘手，但是如果愿意并且能夠進(jìn)行必要的更改以實(shí)現(xiàn)跨云安全一致性，仍然有可能實(shí)現(xiàn)。這可能意味著必須擺脫IT安全團(tuán)隊(duì)喜歡的工具和流程，而支持適用于所有環(huán)境的工具和流程。

對(duì)于具有大規(guī)模多云目標(biāo)的企業(yè)來(lái)說(shuō)，通過(guò)人工實(shí)現(xiàn)多云安全性方法可能不是最有效的時(shí)間和資源的利用方式。在這種情況下，采用多云管理或網(wǎng)絡(luò)覆蓋平臺(tái)等工具可能更合適。這兩種多云管理技術(shù)可幫助管理員使用其所需的安全工具和流程，而無(wú)需考慮基礎(chǔ)設(shè)施是什么。盡管這可以顯著簡(jiǎn)化跨云安全策略，但是需要注意，這是以增加管理、覆蓋成本和復(fù)雜性為代價(jià)的。但是，對(duì)于計(jì)劃在三個(gè)或更多私有云或公共云平臺(tái)運(yùn)行的企業(yè)來(lái)說(shuō)，從長(zhǎng)期的角度來(lái)看，出現(xiàn)額外的成本和復(fù)雜性可能是合理的。