誤區(qū) 1：本地安全工具無法在云端運行

可以肯定的是，用于保護云環(huán)境的安全工具可能看起來與在本地使用的安全工具有所不同。但在很大程度上，可以調整本地工具以在云中工作。

例如，防火墻在本地和云中都發(fā)揮著重要作用。云防火墻有點不同，因為它們需要與最新的云供應商網(wǎng)絡服務本地集成，具有彈性、敏捷性和可擴展性，并且易于部署。他們還需要自動化，以便準備好支持云運營團隊，并且需要提供自適應安全策略來管理云環(huán)境的任何和所有動態(tài)變化。

簡而言之，“不要假設本地工具集在云中會是一對一的關系”，Zinnia 信息安全經(jīng)理 Saul Schwartz 在網(wǎng)絡研討會上說道。但應該期望能夠調整和擴展一些本地安全工具和策略來支持云遷移，不需要從頭開始。

誤區(qū) 2：云供應商的網(wǎng)絡安全工具比第三方解決方案更好

公共云供應商提供的內置安全工具可能看起來很有吸引力，因為它們默認可用。但它們幾乎永遠不會比第三方產(chǎn)品更好。

畢竟，云供應商的主要目標是向客戶銷售更多云服務，而提供網(wǎng)絡安全解決方案可以支持這一目標。相比之下，第三方網(wǎng)絡安全供應商在云銷售競賽中卻沒有優(yōu)勢。他們的唯一目標是幫助客戶確保云遷移的安全以及遷移期間和遷移后的工作負載的安全。

另外，云供應商自己的工具在大多數(shù)情況下都存在無法支持其他云的問題，這對于采用多云架構的組織來說是一個大問題。它們還會將您與特定的云結合起來，如果您選擇遷移或者合并或收購事件要求您的公司整合云環(huán)境，則會帶來挑戰(zhàn)。

誤區(qū) 3：云供應商網(wǎng)絡安全工具更便宜

假設云供應商安全工具更便宜也很容易，但這是錯誤的。他們可能在某些領域提供較低的定價，例如數(shù)據(jù)攝取成本。但總體而言，由于以下因素，您的總擁有成本 (TCO) 通常會更高：

• 工具功能較少，需要您雇用更多員工來填補工具留下的空白。
• 需要在不同的工具和UI之間切換來完成任務（例如，Azure有五種不同的云網(wǎng)絡安全控制臺：安全組、Azure防火墻、Microsoft Defender for Cloud、Azure Policy、Microsoft Sentinel），這也導致效率較低并且需要更大的團隊。
• 它們僅適用于特定的云，這意味著無法輕松利用通過遷移到其他云或多云而獲得的成本節(jié)省機會。正如 Schwartz 在 CISO 網(wǎng)絡研討會上指出的那樣，“如果依賴云供應商安全解決方案，然后突然必須在另一個云中執(zhí)行相同的操作，那么就完蛋了。”
• 防止檢測風險和威脅的能力降低，導致更嚴重的安全事件（更有可能發(fā)生）可能導致更高的成本。

簡而言之，一旦超越基本價格標簽，就會意識到云供應商工具幾乎從未更具成本效益。

誤區(qū) 4：云中不需要防火墻

由于云供應商提供了用于在網(wǎng)絡級別過濾流量和隔離工作負載的工具，因此可能會認為云中不需要防火墻。

但實際情況是，云防火墻在云遷移安全中發(fā)揮著至關重要的作用，是基礎層，可顯著降低風險，且成本效益比高?？梢哉f，如果云防火墻解決方案不是其客戶所必需的安全層，那么領先的云供應商就不會投入大量資金來開發(fā)云防火墻解決方案。

然而，云供應商防火墻工具的靈活性是有限的。例如，不提供深度流量分析等高級功能，不能跨多個云工作，也不能輕松與第三方工具集成以促進集中風險管理。為了防御復雜的云網(wǎng)絡威脅，需要復雜的云防火墻。

誤區(qū) 5：開發(fā)人員與云安全隔離

這個誤區(qū)仍然存在，因為開發(fā)人員和安全團隊往往在孤島中工作。開發(fā)人員專注于開發(fā)應用程序，然后將其留給云安全團隊來保護應用程序和云環(huán)境。如果不應對這一挑戰(zhàn)，可能會減慢團隊的速度并導致內部沖突。

打破這些孤島的關鍵是讓開發(fā)和安全團隊共享工具。例如，基礎設施即代碼 (IaC) 平臺使開發(fā)人員能夠使用代碼定義他們所需的基礎設施，還使安全團隊能夠通過自動分析來驗證基礎設施是否安全。同樣，開發(fā)人員和安全團隊共享對威脅預防、檢測和分析工具的訪問有助于每個團隊相互協(xié)作來管理風險，同時還提供對安全操作狀態(tài)的共享可見性。

一組共享的工具將允許您融合不同的安全方法來打破孤島，同時使開發(fā)和安全團隊能夠使用相同的語言。共享工具還有助于將左移云安全精神付諸實踐。通過確保在設計時考慮到本地安全性的應用程序也可以免受云安全風險的影響，它可以讓開發(fā)人員更積極地參與云遷移過程。

誤區(qū) 6：安全是以速度為代價的

在網(wǎng)絡安全方面投入的精力越多，創(chuàng)新的速度就越慢，對吧？實施強大的云安全控制不會降低 IT 運營工程師推出新基礎設施以及開發(fā)人員構建應用程序的速度嗎？

嗯，不一定。除非受到組織孤島和不同工具的困擾，否則可以在安全的同時快速行動。

借助可讓管理跨所有環(huán)境（即任何云或相關的多個云）的安全威脅的工具，同時還可以在軟件開發(fā)生命周期內的所有階段在團隊之間進行安全協(xié)作，可以快速移動，同時保持安全，因為可以集成將安全性融入 IT 運營和軟件開發(fā)工作流程中。集成意味著工程師可以快速配置新的基礎設施并推出新的應用程序，同時遵守制定的安全策略。

結論

確保云遷移的安全可能具有挑戰(zhàn)性，特別是因為云遷移是一個復雜的過程，不同的組織出于不同的原因、不同的考慮因素和約束，會以不同的方式進行處理。

然而，只要堅持保護云遷移的核心最佳實踐集，就可以保證工作負載和環(huán)境的安全。避免常見錯誤，例如在第三方解決方案更有效時依賴云供應商工具，或者假設必須以速度換取安全性。有了正確的策略和正確的工具，就可以擁有這一切：安全的云遷移、經(jīng)濟高效的運營、協(xié)作團隊以及最大的靈活性，以追求對業(yè)務最有意義的云策略。

摘編自：Checkpoint