隨著云計(jì)算技術(shù)的廣泛應(yīng)用，業(yè)務(wù)系統(tǒng)上云給企業(yè)帶來(lái)了諸多便利。但在上云過(guò)程中，越來(lái)越多的企業(yè)不愿意“將雞蛋全都放在一個(gè)籃子里”，而是會(huì)根據(jù)不同業(yè)務(wù)系統(tǒng)的特性、對(duì)網(wǎng)絡(luò)帶寬質(zhì)量的要求、數(shù)據(jù)的敏感性以及政策合規(guī)等多方面原因，選擇多個(gè)云或者混合云模式來(lái)部署不同的業(yè)務(wù)系統(tǒng)。這使得多云技術(shù)架構(gòu)應(yīng)用得到了快速發(fā)展，同時(shí)也引入了新的安全問(wèn)題，給企業(yè)多云環(huán)境應(yīng)用帶來(lái)新的風(fēng)險(xiǎn)和挑戰(zhàn)。

多云環(huán)境的安全挑戰(zhàn)

云計(jì)算的應(yīng)用會(huì)存在安全漏洞，不法分子可能會(huì)利用這些漏洞來(lái)謀取利益。而應(yīng)用多云環(huán)境的組織，除了會(huì)面臨傳統(tǒng)的云安全威脅，也需要面對(duì)多云環(huán)境自身的應(yīng)用挑戰(zhàn)：

不同云之間的統(tǒng)一化管理

每家云提供商都用一套專有方式來(lái)識(shí)別云上資產(chǎn)，難以通過(guò)統(tǒng)一的規(guī)則來(lái)命名一些關(guān)鍵屬性。例如，為了識(shí)別實(shí)例，AWS使用了“實(shí)例ID”，Azure使用了“虛擬機(jī)ID”，而GCP則使用“虛擬機(jī)實(shí)例ID”。因此對(duì)于采用多云策略的組織來(lái)說(shuō)，如何實(shí)現(xiàn)統(tǒng)一化的管理、報(bào)告和分析，具有很大的挑戰(zhàn)性。

多云使用增加安全隱患

不同云環(huán)境之間的應(yīng)用差異仍然較為嚴(yán)重，安全能力、安全策略、安全操作習(xí)慣等均有較大的不同，用戶難以通過(guò)統(tǒng)一的方式對(duì)龐大的資產(chǎn)進(jìn)行運(yùn)維和管理，因此可能因?yàn)榘踩呗圆唤y(tǒng)一導(dǎo)致安全管理工作的疏漏，并由此引發(fā)新的安全風(fēng)險(xiǎn)。

統(tǒng)一安全運(yùn)營(yíng)難度大

大多數(shù)云服務(wù)商提供的內(nèi)置服務(wù)只適用于自身的云平臺(tái)上。當(dāng)業(yè)務(wù)需求驅(qū)使組織采用多云策略時(shí)，這種孤島現(xiàn)象可能導(dǎo)致嚴(yán)重問(wèn)題，勢(shì)必需要一種滿足安全需求的有效控制措施。為了保持競(jìng)爭(zhēng)優(yōu)勢(shì)，各大CSP（Cloud Service Provider，云服務(wù)提供商）都提供各自的安全工具供客戶使用，但是實(shí)現(xiàn)方式差異很大，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，企業(yè)學(xué)習(xí)、使用的難度較大。同時(shí)，不同云之間使用了不同的運(yùn)營(yíng)術(shù)語(yǔ)，這無(wú)疑也增加了多云環(huán)境的安全運(yùn)營(yíng)難度。

傳統(tǒng)云安全風(fēng)險(xiǎn)依然存在

傳統(tǒng)云環(huán)境中存在主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等問(wèn)題，在多云環(huán)境中依舊存在，而在網(wǎng)絡(luò)層，由于業(yè)務(wù)層面通過(guò)隧道或代理打通多云或云上云下環(huán)境，讓多云環(huán)境的安全防護(hù)邊界更加模糊。

多云安全的防護(hù)建議

企業(yè)組織需要進(jìn)一步保障多云架構(gòu)下業(yè)務(wù)運(yùn)行安全，在原有云安全能力基礎(chǔ)上，全面升級(jí)為統(tǒng)一服務(wù)、統(tǒng)一運(yùn)營(yíng)、統(tǒng)一運(yùn)維、統(tǒng)一調(diào)度、統(tǒng)一配置以及統(tǒng)一權(quán)限的多云安全一體化防護(hù)體系。

1.全面洞察不同云上的資產(chǎn)

“看不見(jiàn)的東西往往難以保護(hù)”，所以應(yīng)該洞察盡可能多的資產(chǎn)。企業(yè)組織應(yīng)該積極與CSP（云計(jì)算服務(wù)提供商）合作以獲得更全面的云資產(chǎn)可見(jiàn)性，也可以考慮購(gòu)買或訂購(gòu)第三方云原生解決方案，以實(shí)現(xiàn)持續(xù)收集數(shù)據(jù)，并通過(guò)統(tǒng)一的管理中心控制所有云應(yīng)用的配置管理。企業(yè)的安全團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)還應(yīng)該選擇可以同時(shí)管理內(nèi)部資產(chǎn)和云資產(chǎn)的工具。

2.實(shí)現(xiàn)自動(dòng)化的安全管理流程

為了加強(qiáng)多云安全，企業(yè)應(yīng)該實(shí)施自動(dòng)化安全流程，以處理日常任務(wù)，并實(shí)施能自行修復(fù)安全問(wèn)題的編排程序。組織可以通過(guò)自動(dòng)化、機(jī)器學(xué)習(xí)和人工智能來(lái)幫助安全團(tuán)隊(duì)開(kāi)展運(yùn)營(yíng)工作，技術(shù)創(chuàng)新可以幫助安全團(tuán)隊(duì)提升工作效率，處理更多事務(wù)，比如規(guī)范數(shù)據(jù)、建立基準(zhǔn)、檢測(cè)異常、自動(dòng)執(zhí)行重復(fù)任務(wù)、快速檢索信息以及自動(dòng)執(zhí)行標(biāo)準(zhǔn)化安全策略和配置。

3.將云上的安全防護(hù)左移

組織需要將自動(dòng)化安全流程集成到編程和應(yīng)用程序開(kāi)發(fā)中，將安全能力融入到云應(yīng)用的開(kāi)發(fā)中。通過(guò)安全能力左移，可以將安全測(cè)試和安全技術(shù)遷址到軟件開(kāi)發(fā)的早期階段。在多云安全領(lǐng)域，安全“左移”需要把更多的自動(dòng)化、安全和網(wǎng)絡(luò)功能直接融入到應(yīng)用程序開(kāi)發(fā)中，以便安全人員根據(jù)應(yīng)用程序要求，匹配相應(yīng)的安全能力和措施。

4.與每個(gè)云服務(wù)商共同承擔(dān)責(zé)任

每家CSP對(duì)于其所需要承擔(dān)的安全責(zé)任都會(huì)有不同的想法。企業(yè)要充分了解這些具體的責(zé)任，并相應(yīng)地制定云安全策略：首先，云服務(wù)提供商應(yīng)該提供關(guān)于客戶如何考慮和降低風(fēng)險(xiǎn)的有效建議并加以實(shí)施，同時(shí)還應(yīng)該對(duì)如何管理風(fēng)險(xiǎn)實(shí)施自己的內(nèi)部控制；其次，云供應(yīng)商應(yīng)該列出各種風(fēng)險(xiǎn)及各自的解決方案，提供完善的服務(wù)水平協(xié)議，隱私保護(hù)政策等能夠承擔(dān)責(zé)任的說(shuō)明；最后，多云企業(yè)用戶應(yīng)該明確自身和多云廠商的責(zé)任和角色，能夠清楚的說(shuō)明每個(gè)云服務(wù)提供商的責(zé)任有哪些。

5.了解每家CSP的服務(wù)特點(diǎn)

組織需要搞清楚每家CSP的基礎(chǔ)設(shè)施、安全工具（比如谷歌云安全指揮中心或Azure安全中心）、API接口規(guī)范及其他技術(shù)事項(xiàng)。企業(yè)只有了解到每家服務(wù)提供商的工作原理及特點(diǎn)后，才能實(shí)現(xiàn)統(tǒng)一的資源管理、訪問(wèn)控制策略設(shè)計(jì)、統(tǒng)一操作模式，同時(shí)簡(jiǎn)化安全運(yùn)營(yíng)和管理的難度。

6.加固多云基礎(chǔ)設(shè)施

企業(yè)應(yīng)該通過(guò)鎖定端口、訪問(wèn)途徑、應(yīng)用程序接口等方式加固云基礎(chǔ)設(shè)施，并將基礎(chǔ)設(shè)施即代碼（IaC）解決方案集成到云管理流程中。組織不應(yīng)該讓任何不需要的端口保持敞開(kāi)，也不應(yīng)該讓任何休眠賬戶保持活躍，更不能讓第三方軟件處于失控的狀態(tài)，IaC將幫助企業(yè)安全團(tuán)隊(duì)管理這些問(wèn)題。在多云架構(gòu)應(yīng)用中，任何云應(yīng)用程序和實(shí)例都應(yīng)該按運(yùn)營(yíng)策略嚴(yán)格鎖定起來(lái)，運(yùn)行最少的服務(wù)并不斷審視配置狀態(tài)及管理要求，以確保任何基于云的基礎(chǔ)設(shè)施盡可能具有彈性。

7.統(tǒng)一身份和訪問(wèn)管理

構(gòu)建多云環(huán)境下的統(tǒng)一身份權(quán)限管控平臺(tái)，是企業(yè)開(kāi)展多云架構(gòu)應(yīng)用必須要解決的問(wèn)題。組織需要能夠通過(guò)單一系統(tǒng)控制用戶訪問(wèn)云和內(nèi)部平臺(tái)上的所有資產(chǎn)，實(shí)現(xiàn)這個(gè)目標(biāo)不僅要實(shí)現(xiàn)單點(diǎn)登錄，還要考慮統(tǒng)一身份管控、統(tǒng)一權(quán)限管控和云上用戶行為審計(jì)，這對(duì)企業(yè)來(lái)說(shuō)具有一定的挑戰(zhàn)性。企業(yè)可以將基于角色或?qū)傩缘臋?quán)限控制整合到多云管理控制臺(tái)中，或采用零信任的思路構(gòu)建身份管理能力。

8.記錄一切能夠?qū)徲?jì)的數(shù)據(jù)

組織可能需要查閱大量日志來(lái)修復(fù)安全問(wèn)題及其他問(wèn)題，這需要消耗大量的存儲(chǔ)容量，但是卻非常有必要，以便威脅搜索和調(diào)查。目前，市面上已經(jīng)有了大量?jī)r(jià)格更便宜的云存儲(chǔ)服務(wù)，企業(yè)可以用更低的預(yù)算投入，實(shí)現(xiàn)對(duì)所有日志信息的記錄。

參考鏈接：

??https://www.scmagazine.com/resource/cloud-security/how-to-strengthen-your-multi-cloud-security-posture??

??https://www.darkreading.com/zscaler/5-ways-cybersecurity-for-cloud-workloads-will-evolve-in-2023??