当企业采用来自多个云计算服务提供商的云服务时,考虑云平台和每个云服务的具体情况以维护安全性至关重要。有些事情不是孤立的,企业采用云计算的方式也不是孤立的,而且会随着时间的推移而增长。除非有特殊情况,企业会采用多家云计算服务商的云计算服务,这是不争的事实。在实践中,企业经常采用来自同一供应商的多种云计算模型或服务,或者使用来自不同云计算供应商的云计算服务,每一种都有不同的配置选项和设置。采用多云有几个原因。在一些组织中,他们的领导者可能明确决定使用来自多个云计算提供商的云计算服务作为更大的灾难恢复或业务连续性战略的一部分,建立冗余以帮助确保服务在失败时无法恢复。删除。它也可能无意中发生。考虑企业并购的案例:如果两家公司合并,一家使用云计算提供商A的云计算服务,另一家使用云计算提供商B的云计算服务,会发生什么情况?迁移到其他环境既费时又费钱,合并后的公司可能会发现自己在不确定的时间段内维护这两种云计算服务。这也可能发生在并购之外,例如当同一家公司的两个业务部门做出不同的购买决定时。此外,在这种情况下,不要将采用影子IT作为驱动因素。不管是怎么发生的,现在很多企业都在处理多云的问题,是否是使用同一个云计算提供商的多个云服务,比如公司使用IaaS,一个云计算提供商的PaaS服务使用不同的云。类似服务的计算供应商。从安全专业人士的角度来看,这种情况具有挑战性。请记住,每个云提供商和每个云服务都有不同的安全模型、不同的安全工具、不同的配置参数、不同的仪表板和不同的联系点。但是,必须将所有这些细节整合在一起并创建一个连贯的多云安全策略。确定云范围实际上,企业安全团队如何才能最好地解决这个问题并确保多云安全?有几个战略选择需要考虑,但作为起点,企业需要做的第一件事是掌握其范围:要采用多少云提供商?它们的用途是什么?由谁使用?具体有什么用?这些问题的答案不仅从尽职调查的角度来看很重要,而且从与安全相关的云计算的角度来看也很重要。领域及其用途。值得记住的是,这些信息可能会随着时间而改变;仅仅因为给定的服务在这一秒没有被正确使用并不意味着有人在10分钟后不会使用它。与其对您使用的服务进行清点,不如建立一个定期更新列表的流程。这可以通过一些机会来完成。例如,在对连续性计划进行业务影响分析时,请关注云计算服务的使用情况。我如何完成申请评估?查找并记录云计算服务的使用情况。如何进行内部审计?记录任何云计算服务的使用情况。如果有更多的云计算服务可以在电子表格中跟踪(在较大的组织中很可能是这种情况,或者也可以跟踪SaaS),则可以使用库存工具。在记录每个问题时,记录一个联系点,然后可以联系到该联系点以提出其他问题。集成多云安全策略一旦了解了范围信息,下一步就是解决与每项服务相关的细节。此时,需要针对所确定的服务的特定安全注意事项和模型进行一些自我教育。具体细节因服务而异,但重要的是要了解在技术层面和程序层面上涉及什么以及保护服务所涉及的内容。这可能包括可能有助于保护它们的任何其他工具,例如AWS的GuardDuty、Azure的Sentinel、SaaS系统的日志记录等。要充分理解这一点,可能需要从企业用户那里收集有关服务的其他详细信息。这就是为什么在首次识别服务时记录联系点很重要。了解与安全密切相关的运营责任的重叠也很重要,即需要提供什么与通过云提供商提供的工具或流程提供什么。有时这将被明确记录。例如,MicrosoftAzure和AWS记录了共同责任,以及由提供商还是客户负责安全运营和管理的各个方面。对于较小的提供商或SaaS产品,这些细节将不那么明确,但仍需要在规划阶段考虑在内。此外,了解可提供帮助的各种工具也很重要。例如,IaaS提供商可能拥有可用于监控的复杂工具,而SaaS提供商可能提供较少的应用程序、用户活动或API日志。重要的是要记住,由于使用来自多个云计算供应商的云计算服务,这些供应商之间的工具集会有所不同。供应商A可以通过不同的界面提供对不同工具的访问,而供应商B则不能。采用更多的云提供商会使工作复杂化,因此制定多云安全策略最终意味着熟悉选项、将安全目标映射到该区域、识别和采用云提供商提供的工具和资源,并确定可能没有的区域覆盖,以便在后续规划中系统地解决这些问题。
