混合云和多云環(huán)境下面臨一些云安全挑戰(zhàn)，它所涉及一些復(fù)雜性和緩解戰(zhàn)略。

SaaS應(yīng)用程序和基于Web的解決方案的日益普及產(chǎn)生了對(duì)數(shù)據(jù)和資源共享的需求。云計(jì)算提供了基礎(chǔ)設(shè)施、平臺(tái)、數(shù)據(jù)存儲(chǔ)和軟件即服務(wù)的組合。多年來(lái)，它取代了網(wǎng)格計(jì)算，改變了人們共享訪問(wèn)和存儲(chǔ)信息的方式。隨著越來(lái)越多的企業(yè)使用云計(jì)算服務(wù)，在混合云和多云系統(tǒng)中維護(hù)云安全變得更具挑戰(zhàn)性。這些方法提供了靈活性、可擴(kuò)展性和成本效益，但它們也為數(shù)據(jù)保護(hù)和維護(hù)強(qiáng)大的安全態(tài)勢(shì)帶來(lái)了特殊的困難。本文將研究混合云和多云設(shè)置中存在的云安全困難，以及成功降低所涉及風(fēng)險(xiǎn)的方法。

混合云和多云環(huán)境中的工作負(fù)載管理

在多云或混合云環(huán)境中，可以同時(shí)使用公共云和私有云的優(yōu)勢(shì)。公共云提供了更多的受眾訪問(wèn)和覆蓋范圍，而私有云提供了安全性和數(shù)據(jù)隔離。需要更多關(guān)注和保密的工作負(fù)載可以保存在私有云中，而其余工作負(fù)載則加載在公共云中。大多數(shù)混合云用戶(hù)將最敏感的數(shù)據(jù)保存在私有云中，而非機(jī)密數(shù)據(jù)(如產(chǎn)品和服務(wù))則保存在公共云中。這樣，數(shù)據(jù)的安全性、可擴(kuò)展性和機(jī)密性在可視化環(huán)境中得到了保證。

復(fù)雜性和缺乏標(biāo)準(zhǔn)化

• 問(wèn)題：具有許多云和混合配置的環(huán)境使維護(hù)安全性變得更加困難。云平臺(tái)和服務(wù)提供商的個(gè)人安全設(shè)置、設(shè)置和管理接口可能會(huì)有所不同。由于缺乏標(biāo)準(zhǔn)化，很難識(shí)別漏洞、檢測(cè)攻擊并做出適當(dāng)?shù)捻憫?yīng)。這也使得很難在整個(gè)環(huán)境中實(shí)現(xiàn)統(tǒng)一的安全視圖。
• 緩解策略：建立一個(gè)用于管理與許多云服務(wù)提供商連接的云安全的通用平臺(tái)，可以為您提供安全控制的綜合情況，使您更容易一致地實(shí)施策略，并加快安全監(jiān)控和事件響應(yīng)。公共平臺(tái)將確保共享的數(shù)據(jù)符合確定的規(guī)則或標(biāo)準(zhǔn)集，并通過(guò)確定的協(xié)議。

數(shù)據(jù)安全與合規(guī)性

• 問(wèn)題：在每個(gè)云環(huán)境中，數(shù)據(jù)安全都是重中之重，但在混合云和多云環(huán)境中，數(shù)據(jù)安全變得更加復(fù)雜。數(shù)據(jù)必須在許多云平臺(tái)和云計(jì)算服務(wù)提供商之間輕松移動(dòng)，有時(shí)跨越許多地理和司法邊界。在維護(hù)數(shù)據(jù)機(jī)密性、完整性和可用性的同時(shí)，組織必須處理好數(shù)據(jù)駐留、隱私法規(guī)和遵從性義務(wù)。
• 緩解策略：在混合云和多云系統(tǒng)中傳輸數(shù)據(jù)時(shí)，可以通過(guò)在傳輸和靜態(tài)中使用強(qiáng)大的加密技術(shù)來(lái)保護(hù)數(shù)據(jù)。通過(guò)實(shí)現(xiàn)基于法規(guī)要求的數(shù)據(jù)分類(lèi)和訪問(wèn)控制，在維護(hù)最小特權(quán)原則的同時(shí)確保了合規(guī)性。

網(wǎng)絡(luò)安全與分段

• 問(wèn)題：在混合云和多云場(chǎng)景中，網(wǎng)絡(luò)覆蓋了本地基礎(chǔ)設(shè)施和多個(gè)云平臺(tái)。復(fù)雜的工作包括建立安全的網(wǎng)絡(luò)連接、維護(hù)適當(dāng)?shù)姆侄魏凸芾砭W(wǎng)絡(luò)流量。當(dāng)存在配置錯(cuò)誤、松散的訪問(wèn)規(guī)則或較低的網(wǎng)絡(luò)可見(jiàn)性時(shí)，更有可能出現(xiàn)未經(jīng)授權(quán)的訪問(wèn)或在環(huán)境中橫向移動(dòng)。
• 緩解策略：可以強(qiáng)制對(duì)網(wǎng)絡(luò)流量進(jìn)行分段，并且可以通過(guò)放置網(wǎng)絡(luò)安全控制(如防火墻、入侵檢測(cè)系統(tǒng)和虛擬專(zhuān)用網(wǎng)絡(luò)(VPN))來(lái)保護(hù)網(wǎng)絡(luò)流量。用于網(wǎng)絡(luò)監(jiān)視和日志記錄的工具能夠及時(shí)檢測(cè)任何可疑活動(dòng)或異常，并啟用適當(dāng)?shù)捻憫?yīng)。

身份和訪問(wèn)管理(IAM)挑戰(zhàn)

• 問(wèn)題：IAM對(duì)于保護(hù)對(duì)云服務(wù)和數(shù)據(jù)的訪問(wèn)至關(guān)重要，這帶來(lái)了一個(gè)問(wèn)題。但是，跨許多云平臺(tái)和提供商統(tǒng)一管理身份和訪問(wèn)權(quán)限可能很困難。由于每個(gè)平臺(tái)可能有自己的IAM過(guò)程，因此保持集中控制、執(zhí)行嚴(yán)格的身份驗(yàn)證標(biāo)準(zhǔn)和有效地管理用戶(hù)特權(quán)可能具有挑戰(zhàn)性。
• 緩解策略：通過(guò)實(shí)施集中式IAM解決方案或身份聯(lián)合技術(shù)，可以跨多個(gè)云平臺(tái)實(shí)現(xiàn)一致的身份管理和訪問(wèn)控制。通過(guò)確保正確的用戶(hù)身份驗(yàn)證和限制特權(quán)訪問(wèn)，多因素身份驗(yàn)證(MFA)和特權(quán)訪問(wèn)管理(PAM)的實(shí)現(xiàn)提高了安全性。

供應(yīng)商鎖定和依賴(lài)風(fēng)險(xiǎn)

• 問(wèn)題：很多時(shí)候，混合云和多云環(huán)境依賴(lài)于眾多的云計(jì)算服務(wù)提供商。這降低了依賴(lài)單一供應(yīng)商的風(fēng)險(xiǎn)，但也會(huì)產(chǎn)生供應(yīng)商鎖定和依賴(lài)問(wèn)題。組織必須仔細(xì)考慮合同、服務(wù)水平協(xié)議(sla)和退出計(jì)劃，以防止在云提供商切換時(shí)中斷或數(shù)據(jù)丟失。供應(yīng)商鎖定可能會(huì)降低靈活性，增加費(fèi)用，并扼殺創(chuàng)新，因?yàn)槠髽I(yè)可能會(huì)發(fā)現(xiàn)難以適應(yīng)或?qū)⑵鋽?shù)據(jù)和應(yīng)用程序遷移到不同的云平臺(tái)。
• 緩解戰(zhàn)略：為了保證組織在與云計(jì)算服務(wù)提供商合作的整個(gè)過(guò)程中保持對(duì)其數(shù)據(jù)的完全控制和所有權(quán)，合同應(yīng)明確說(shuō)明數(shù)據(jù)所有權(quán)。這避免了切換到新供應(yīng)商時(shí)數(shù)據(jù)訪問(wèn)和檢索的任何爭(zhēng)議或問(wèn)題。服務(wù)水平協(xié)議(SLA)對(duì)于控制期望和保證云服務(wù)的有效性和可訪問(wèn)性至關(guān)重要。組織應(yīng)該仔細(xì)審查sla，以了解他們期望從云計(jì)算服務(wù)商獲得的服務(wù)水平。數(shù)據(jù)安全、隱私、備份和恢復(fù)條款應(yīng)該包含在sla中，以保證云計(jì)算服務(wù)商遵循公認(rèn)的標(biāo)準(zhǔn)。

結(jié)論

云計(jì)算改變了人們交流和共享資源的方式。多個(gè)云可以組合在一起，以提高它們的效率和性能。多云是將多個(gè)云組合成一個(gè)集中的形式。相比之下，混合云將公共云和私有云結(jié)合起來(lái)，以獲得確保良好工作負(fù)載管理的優(yōu)勢(shì)。使用這樣的分組可能會(huì)導(dǎo)致云復(fù)雜性、缺乏通用標(biāo)準(zhǔn)、安全挑戰(zhàn)、IAM挑戰(zhàn)、依賴(lài)風(fēng)險(xiǎn)等。

通過(guò)遵循本文中介紹的緩解策略，IT管理員和SRE可以降低與多云和混合云環(huán)境相關(guān)的風(fēng)險(xiǎn)。