现代企业基本上都没有完全上云或者根本不用云。基础设施和公司现场技术的混合环境是当今大多数公司的现实。根据微软《2017混合云情况》的报告,约有2/3的公司承认他们在混合云环境中运营,另有18%的公司其IT环境可以归类为混合云。混合环境正在成为云的默认用例,术语“实用混合云”(公有云和私有云基础设施的混合)可用于区分企业IT的混乱现状与混合云的规范定义。一些人认为实用的混合云是当前的趋势。公司内网与云服务融合的IT环境普遍混乱,安全性难以保障。专家表示,公司需要抽象出某些方法来保护其IT环境并简化基础设施以促进安全措施的部署。对于很多企业来说,混合云最大的问题就是传播的范围太大、速度太快,导致出现安全问题被抛在脑后的情况。有的企业甚至跳过试水环节,直接全面铺开实施,恨不得一口吃肥,结果是云项目发展举步维艰。比如管理层直接定调:我们要走向云端;但是,安全策略的中央管理措施根本没有到位。结果,云项目只能变成巨大的、丑陋的烂摊子。完全开始一个新项目比将遗留的本地应用程序迁移到云端更好。虽然许多云安全提供商专注于资产盘点,但真的有可能发现一家公司的所有资产吗?而且,一开始,迁移遗留应用程序的工作量太大了。最明智的方法是从可以完成的工作量开始。大多数公司已经开始担心他们的数据在云中的安全性。但这些公司仍然假设其内部基础设施中的数据不会被攻击者触及。但是,必须承认,攻击者有时会获得对本应安全的内部网络的访问权限。企业在安全认知上犯的最大错误就是认为内部环境是安全的。Equifax、Target等公司已经证明了这一点。当人们认为他们在混合环境中运作时,他们就偏离了正确的认知路径。正确的假设应该是:我拥有的一切都暴露在互联网上,并且必须在零信任环境中运行。零信任思想应该体现在应用程序中,所有应用程序都应该验证来自其他应用程序的所有通信。随着设备的激增,可以存储业务数据的地方也呈指数级增长,从40年前的大型机,到30年前的PC,再到最近10年的移动设备和云端。然而,数据终归是数据,无论数据位于何处,都必须保证数据安全,而坏人对数据的觊觎之心从未减弱。许多公司试图通过网络控制限制对信息的访问来保护数据安全。但在混合环境中,以网络为中心的模型没有意义。你必须专注于你真正关心的事情,那就是数据。数据是企业最重要的资产。网络和设备不是最重要的,但您的数据才是。最好的CISO会假设整个环境都被感染,以此来保护他们的数据。员工在工作中平均使用36项云服务。为了降低公司混合云和本地环境的复杂性,应尽可能整合这些身份。大多数云提供商,例如AWS和微软的Azure,都提供了整合用户身份的方法。身份管理提供商还将为用户提供一个统一的门户来访问各种企业服务。这些功能使公司能够标准化他们的访问控制。联合身份无疑是非常重要的。您可能不想做任何疯狂的事情,但您肯定想购买联合身份代理。大多数人希望能够从Web门户登录到他们的环境。但是,除非很容易做到,否则不要指望将本地身份绑定到云身份。内部应用程序保持内部状态,并按照以往的方式进行管理。除了整合身份和维护一致的数据保护外,组织还需要了解各种应用程序如何连接到工作流,即了解连接。了解谁在哪些数据上执行哪些工作负载可以改进整个基础架构的管理并引起对潜在安全问题的关注。这可能是最难掌握的一点,但组织必须获得对连接的可见性。可以通过自动化日志文件收集和处理来提高这种可见性。然而,即便如此,它也不太可能观察到企业网络和云基础设施上的一切。这与通常意义上的能见度不同。您不能坐在那里一直监视所有网络流量。随着用户身份变得独一无二,公司应该逐渐专注于完善他们的战略,因为每个云项目迭代都会带来更多的可见性。通过跨云和本地基础架构应用一组统一的策略,IT安全团队可以在较高级别简化他们的安全视图。也就是说,你在定义策略的时候不需要考虑数据的存储位置,你只需要将策略映射到具体的服务或存储介质上即可。通过Exchange共享的数据与通过Slack共享的数据具有不同的规则,但策略是相同的。这些策略连同提高的可见性也使公司有机会发现异常行为。IT安全团队可以通过设置规则和查找恶意行为来检测攻击,在攻击者造成伤害之前将其捕获。想要提高每个云项目每次迭代的安全性的组织需要数据来衡量他们正在做的事情的有效性。如何衡量成功非常重要。对于云安全,可以简化为使用了多少云服务,以及这些云服务中有多少被安全策略覆盖。没有指标就谈不上混合基础设施管理。这就像每个司机都需要一个仪表板来告诉他他的车在做什么一样。随着公司云项目的扩展,可见性的重要性也随之增加。复杂性问题只会变得更糟。因此,公司和政府机构最好在复杂性失控之前找到应对方法。
