调查显示,目前几乎所有企业都在使用多家云提供商和大量基于云的解决方案。也就是说,企业IT已经接受了混合云模型。分析公司IDC预测,到2022年,全球90%以上的企业将拥有多个公有云。根据IT管理解决方案提供商Flexera发布的《2020年云现状报告》,93%的企业部署了混合云战略,高于两年前的81%。受访者目前平均使用2.2个公共云和私有云。但传统企业中公有云和私有云以及SaaS应用程序的日益混合也带来了许多安全问题。在Flexera调查中,约83%的企业将安全视为一项挑战,高于云支出的管理(82%)和治理(79%)。咨询公司Protiviti新兴技术和全球云实践总监RandyArmknecht表示:“混合云给安全团队带来的挑战不断增加。发布的服务数量、新的交互方式以及服务和系统的互连不断发展并为企业安全模型增加新的复杂性。”混合云环境中的安全性受到高度关注并不奇怪。因为首席信息安全官已经意识到,他们需要保护的范围已经从企业内部基础设施转变为分布在不同供应商之间的计算资源网络。至关重要的是,这些供应商提供的服务水平和安全承诺各不相同。这种环境为恶意软件攻击、数据泄露、破坏和弹性问题创造了更多漏洞。毕马威技术合伙人SaiGadia表示,混合云架构的复杂性正在成为一种攻击媒介风险实践。“如果传统的人、流程或技术存在漏洞,犯罪分子就会寻求利用这些漏洞。”越来越复杂的技术提供商Blissfully在《2020年SaaS趋势报告》中指出,目前传统的企业IT基础架构和解决方案堆栈不仅包括公有云和私有云部署,还有大量of不同的SaaS产品(平均288)。不同的构建块具有不同的安全要求,并且内置安全功能的级别和类型各不相同。每个云提供商使用不同的工具,即使是同一类型的工具,他们的术语也往往不同。此外,这些云提供商具有不同的安全责任。所有这些都迫使CISO将它们集成为一个有凝聚力的整体,以记录云服务的安全功能是否足够、是否需要更多安全性以及需要在何处以及需要何种类型的额外安全措施。451Research信息安全渠道高级研究分析师GarrettBekker表示:“我们常常认为云服务可以让我们的生活更轻松,而且它们可以通过多种方式做到这一点,从而为我们提供很多好处。但从安全从业务角度来看,他们还增加了很多复杂性,因为他们有太多事情要做。”在Oracle和KPMG?中,受访者认为复杂性是一个重大挑战。其中,70%的人认为保护他们的公共云足迹需要太多专业工具,78%的人指出云之间需要不同的安全策略和流程-驻留和本地应用程序。这些问题导致了另一个熟悉的安全问题:缺乏可见性。EdMoyle,SecurityCurve的创始合伙人和ISACA(国际信息系统审计协会)混合云环境安全影响管理团队的首席开发人员,指出:“用户很难从各个供应商那里获得所有不同的信息来确定统一管理。看法。”VeryGoodSecurity首席信息安全官KathyWang表示,可见性挑战来自多个层面。例如,企业安全团队无法了解企业的??所有云部署(尤其是企业直接购买的那些SaaS产品)。即使他们这样做了,他们仍然难以监控所有云部署并发现问题。此外,编译和解释来自事件管理工具的数据可能非常困难。制定战略制定混合云安全战略首先要确定企业使用的所有云,确保企业拥有强大的数据治理计划来指导与云相关的安全决策,并在正确的地方部署正确的工具以确保适当的级别的控制。ISACA在《混合云环境安全性影响管理》报告中指出,“要让多个供应商一起工作,企业必须调整他们的工具、流程、监控功能、运营思维,以及与安全规划相关的许多要素。”Gadia认为,当前的CISO正朝着这个方向前进。他指出,甲骨文和毕马威的调查报告显示,企业拥有的云安全架构师多于安全架构师。尽管如此,许多安全团队仍需要进一步增加具备创建安全云架构所需的所有技能的人员数量。以下是增强混合云安全性的三个关键步骤。不能低估在应用程序和数据的混合云环境中关注应用程序安全的重要性。MicroFocus安全风险和治理总监RamsésGallego表示:“如今,依靠强大可靠的方法来强化和保护应用程序比以往任何时候都更加重要。这意味着不仅要确保代码是应用程序使用的库已更新且没有漏洞。”Gallego补充道:“数据管理、数据最小化以及最重要的数据匿名化和加密是企业构建混合云架构的支柱。就像土木工程一样,地基必须坚固,必须有数据屏蔽和数据隐藏。根据某些法规的要求制定政策。”使用正确的工具考虑到不同云产品中嵌入的安全特性的差异,适当对齐工具和技术组合可以满足不同企业的云解决方案组合。CISO需要清楚哪些解决方案适用于哪些地方,并选择可以跨云的解决方案为安全场景创建单一管理平台专家建议引入云访问安全代理(CASB),这是一种在企业和云服务提供商之间实施身份验证、凭证映射、设备配置文件、加密和恶意软件检测等安全措施的软件此外,专家推荐云安全态势管理(CSPM),这是一项较新的技术,根据安全需求评估企业云环境,以确保云配置能够持续满足相关要求和法规。“CASBs很重要,但他们的重点是SaaS,”saidJuanPerez-Etchegoyen,非营利性云安全联盟(CSA)的ERP安全工作组的研究员。所有云服务模型(IaaS、PaaS、SaaS)。”增强安全性安全领导者还建议CISO采取零信任态度,并积极部署支持零信任安全模型的技术。该模型假设连接是不可信的,除非它们可以证明自己是可信的。“在零信任安全模型中,云资产的安全性不依赖于扩展网络中受信任的用户和设备。零信任只依赖于所需的最少特权/访问权限。当允许用户访问云环境中的资源时,”加迪亚说,以前,所有用户和设备都需要经过身份验证。”Moyle说,虽然这种心态认为所有未经身份验证的东西都是不可信的,但它们帮助安全团队保护企业免受未经批准的云部署、影子IT和不合标准的云提供商的入侵。“并不是说提供商不能提供很好的安全性,只是环境被假定为危险的并且是为它而设计的,”Moyle解释道。最后,专家建议那些希望改善其组合的云环境安全首席信息安全官首先要确保有能够支持相关安全标准的流程,同时完成对传统人流程的改造和更新——长期以来主导安全的技术方法。这些努力需要企业内所有相关部门的协作,以在业务需求、安全目标和合规义务之间取得平衡。信息安全团队首席研究分析师FernandoMontenegro表示:“需要就如何管理云风险、如何在组织内进行云开发以及如何通过技术做出风险决策进行更高层次的战略对话。”在451Research。他指出,许多CISO及其团队在项目周期的早期就开始与开发人员和利益相关者合作,以确保从一开始就考虑到安全性。
