随着云计算技术的广泛应用,业务系统的云计算为企业带来了诸多便利。然而,在上云过程中,越来越多的企业并不愿意“把所有的鸡蛋都放在一个篮子里”。由于规划等各种原因,选择多云或混合云模式部署不同的业务系统。这带动了多云技术架构应用的快速发展,同时也引入了新的安全问题,给企业多云环境应用带来了新的风险和挑战。多云环境下的安全挑战云计算应用存在安全漏洞,不法分子可能利用这些漏洞谋取利益。使用多云环境的组织除了面临传统的云安全威胁外,还需要面对多云环境的应用挑战:不同云之间的统一管理。每个云提供商都使用专有的方法来标识资产,很难通过统一的规则来命名一些关键属性。例如,为了标识一个实例,AWS使用“实例ID”,Azure使用“虚拟机ID”,GCP使用“虚拟机实例ID”。因此,对于采用多云战略的组织来说,如何实现统一的管理、报告和分析是一个很大的挑战。多云的使用增加了安全风险。不同云环境之间的应用差异还比较严重,安全能力、安全策略、安全操作习惯等都存在较大差异。用户难以对庞大的资产进行统一的运维和管理。因此,安全策略的不一致可能会导致安全管理工作的疏漏,进而引发新的安全风险。统一的安全操作是困难的。大多数云服务提供商提供的内置服务只适用于他们自己的云平台。当业务需求驱使组织采用多云策略时,这种孤岛现象可能会导致严重问题,需要采取有效的控制措施来满足安全需求。为了保持竞争优势,各大CSP(CloudServiceProviders,云服务提供商)都提供了自己的安全工具供客户使用,但实现方式差异很大,没有统一的标准,企业很难掌握学习和使用。同时,不同云之间使用不同的运维术语,无疑增加了多云环境下安全运维的难度。传统云安全风险依然存在。传统云环境中存在主机安全、应用安全、数据安全等问题,在多云环境中仍然存在。在网络层,由于业务层面通过隧道或代理打通多云或云上云、云外环境,使得多云环境的安全保护边界更加模糊。多云安全保障,意味着企业组织需要进一步保障多云架构下业务运营的安全。在原有云安全能力的基础上,全面升级为统一服务、统一运营、统一运维、统一调度、统一配置、统一权限的多云安全融合。化学防护系统。1.全面洞察不同云上的资产“看不见的东西往往很难保护”,所以应该尽可能多地洞察资产。企业组织应积极与CSP(云计算服务提供商)合作以获得更全面的云资产可见性,也可以考虑购买或订购第三方云原生解决方案,通过统一的管理中心实现持续的数据采集和控制配置管理适用于所有云应用程序。您的安全和运营团队还应该选择可以同时管理本地和云资产的工具。2.实施自动化安全管理流程为了加强多云安全,组织应该实施自动化安全流程来处理日常任务,并实施可以自我修复安全问题的协调程序。组织可以帮助安全团队通过自动化、机器学习和人工智能进行操作。技术创新可以帮助安全团队提高生产力并处理更多事情,例如标准化数据、建立基准、检测异常、自动化重复性任务以及快速检索信息和自动化标准化安全策略和配置。3.将云上的安全保护转移到左侧组织需要将自动化安全流程集成到编程和应用程序开发中,并将安全能力集成到云应用程序开发中。通过向左移动安全功能,可以将安全测试和安全技术转移到软件开发的早期阶段。在多云安全领域,安全“左移”需要将更多的自动化、安全和网络功能直接集成到应用开发中,让安全人员根据应用需求匹配相应的安全能力和措施。4.与每个云服务提供商分担责任每个CSP对其需要承担的安全责任会有不同的想法。企业需要充分了解这些具体职责,并据此制定云安全策略:首先,云服务提供商应就客户如何考虑和降低风险提供并实施有效建议,同时实施自己内部的风险管理政策。其次,云提供商应列出各种风险及其各自的解决方案,并提供完善的服务水平协议、隐私保护政策等可以承担责任的说明;最后,多云企业用户应该明确自己和多云厂商的责任和义务。角色,明确规定了每个云服务提供商的职责。5.了解各CSP的服务特点组织需要了解各CSP的基础设施、安全工具(如GoogleCloudSecurityCommandCenter或AzureSecurityCenter)、API接口规范等技术事项。企业只有了解各个服务提供商的工作原理和特点,才能实现统一的资源管理、访问控制策略设计、统一的运营模式,同时简化安全运营管理的难度。6.加固多云基础设施企业应通过锁定端口、访问路径、API等方式加固云基础设施,并将基础设施即代码(IaC)解决方案集成到云管理流程中。组织不应打开任何不需要的端口,也不应保持任何休眠帐户处于活动状态,也不应让第三方软件失控。IaC将帮助企业安全团队管理这些问题。在多云架构应用中,任何云应用和实例都应该根据运营策略严格锁定,运行最少的服务,并不断审查配置状态和管理要求,以确保任何基于云的基础设施尽可能具有弹性。7、统一身份和访问管理在多云环境下构建统一的身份和权限管控平台,是企业实施多云架构应用必须解决的问题。组织需要能够通过单一系统控制用户对云和内部平台上所有资产的访问。要实现这个目标,不仅要实现单点登录,还要考虑云端统一身份控制、统一权限控制、用户行为审计等。这对企业来说很重要。这是具有挑战性的。企业可以将基于角色或属性的权限控制集成到多云管理控制台中,或者采用零信任的方式构建身份管理能力。8.记录所有可以审计的数据组织可能需要查阅大量的日志来修复安全问题和其他问题,这会消耗大量的存储容量,但是对于威胁追踪和调查来说是非常必要的。目前市场上有大量便宜的云存储服务,企业可以用较低的预算投入记录所有的日志信息。参考链接:https://www.scmagazine.com/resource/cloud-security/how-to-strengthen-your-multi-cloud-security-posturehttps://www.darkreading.com/zscaler/5-云工作负载的网络安全方式将在2023年发展
