根据安全专家的说法。数据泄露或入侵者警报将使组织安全团队在努力阻止损害并确定原因时处于高度戒备状态。即使IT团队在自己的基础架构上运行所有操作,应对大量任务也更具挑战性。随着组织将更多工作负载迁移到云,然后采用来自多个云提供商的服务,这将变得越来越复杂。根据云计算服务商RightScale发布的《2018年云计算现状报告》,997名技术从业者中有77%认为云安全是一个挑战,29%表示是重大挑战。安全专家表示,他们对此并不感到惊讶,尤其是考虑到81%的RightScale调查受访者拥有多云策略。“多云环境增加了实施和管理安全控制的复杂性,”管理咨询公司Protiviti的总经理兼全球技术咨询主管RonLefferts说。他和其他安全领导者表示,随着将更多工作负载转移到云端,组织可以将安全放在首位。多云的安全挑战但人们还应该认识到,多云环境带来了额外的挑战,需要作为整体安全策略的一部分加以解决。国际安全顾问委员会(ISACA)董事会主席ChristosK.Dimitriadis说:“在这个多云的世界里,一切都与合同、技术和人员方面的协调有关。”确保协调所有实体一起工作,以识别违规行为以进行分析并制定改进计划以使控制更有效。”安全专家将以下三个因素称为多云环境的复杂安全策略。(1)复杂性增加。协调安全性跨多个云提供商的政策、流程和响应以及连接点的扩展网络增加了复杂性。“组织可以在世界各地的多个位置扩展他们的数据中心。然后,他们必须遵守所在国家/地区的法规,”非营利性贸易组织云安全联盟(CSA)的ERP安全工作组研究员兼联合主席JuanPerez-Etchegoyen说。有越来越多的法规推动组织需要实施的控制和机制,所有这些都增加了人们保护数据的方式的复杂性。”(2)缺乏可见性。IT组织通常不知道员工使用的所有云计算服务,员工可以轻松绕过公司IT部门,自行购买软件即服务产品或其他基于云的服务。“因此,人们试图在不清楚数据位置的情况下保护数据、服务和企业,”Dimitriadis说。(3)新的威胁。SecurityRiskManagement创始人兼首席执行官JeffSpivey表示,企业安全领导者还应该认识到,多云环境的出现会带来新的威胁。“人们正在创造一些尚不了解所有漏洞的东西,但可能会发现它们,”他说。构建多云战略安全专家表示,随着多云环境的发展,出现了许多安全最佳实践,组织在制定自己的安全战略时应该采取一些关键步骤。首先是确定数据所在的所有云平台,并确保组织拥有强大的数据治理计划。“组织需要全面了解数据,以及与信息相关的IT服务和资产,”Dimitriadissays说。Dimitriadis除了担任ISACA董事会主席外,还是博彩解决方案提供商和运营商INTRALOTGroup的信息安全、信息合规和知识产权保护负责人,他承认这些安全建议不仅适用于多云环境。然而,他表示,当数据被迁移到云端并分布在不同的云中时,采取这些基本步骤变得更加重要。统计数据显示为什么拥有强大的安全基础如此重要:KPMG和Oracle发布的2018年云计算威胁报告调查了450名网络安全和IT专业人士。报告表明,90%的企业将其一半的基于云的数据归类为敏感数据。该报告还发现,82%的受访者担心其组织的员工不遵守云安全政策,38%的受访者担心检测和响应云安全事件。赛门铁克首席技术官兼企业战略布道者、国际安全咨询委员会(ISACA)负责人拉姆塞斯·加勒戈表示,针对这种情况,企业应对信息进行分类,打造安全平流层。认识到并非所有数据都需要相同级别的信任和验证才能访问或锁定。安全专家还建议组织实施其他传统安全措施作为保护多云环境的必要基础层。除了数据分类策略,Gallego还建议使用加密和身份与访问管理(IAM)解决方案,例如双因素身份验证。毕马威新兴技术风险服务实践的合伙人SaileshGadia表示,公司随后需要标准化他们的政策和架构,以确保一致的应用程序和自动化,以帮助尽可能地限制与这些安全标准的偏差。“企业付出的努力程度应取决于数据的风险和敏感性。因此,如果企业使用云平台进行非机密数据存储/处理,那么就不需要更高级别的安全方法,”Gadia说。他还指出,标准化和自动化可以提高效率,这不仅可以降低总体成本,还可以让安全领导者将更多资源投入到更高价值的任务中。专家表示,这些基本原则应该成为更广泛、更具凝聚力的战略的一部分,并指出企业在采用管理安全工作的框架时会做得很好。其共同框架包括美国国家标准与技术研究院的NIST;ISACA的信息相关技术控制目标(COBIT);ISO27000系列;以及云安全联盟的云控制矩阵(CCM)。为云提供商设定期望Dimitriadis表示,所选择的框架不仅应该指导企业,还应该指导云提供商。“我们需要做的是将这些纳入与云提供商的协议中。然后,企业可以围绕他们试图保护的数据和服务建立控制,”他解释道。安全专家表示,与云计算提供商的谈判和随后的服务协议应解决提供的数据隔离类型、数据存储位置和提供商可以访问的数据,以及提供商在出现问题时应如何应对,包括他们将如何协作和协调与其他为企业服务的云计算提供商。JeffSpivey说,组织必须清楚地了解他们从每个云提供商那里获得的服务,以及他们是否有能力管理和管理这些服务。Spivey补充说,“要具体说明期望是什么以及如何衡量它们,您必须清楚地了解您从每个供应商那里得到什么,以及他们是否有能力管理和服务它们。”但Gallego表示,不要向云计算提供商提供过多的安全权限。云计算提供商通常通过强调他们代表企业客户所做的工作来提供他们的服务。虽然这项努力确实包括安全服务,但Gallego指出,“这还不够,因为云计算供应商从事的是云业务,而不是安全业务。”因此,他说,企业安全领导者必须将他们的安全计划整合到细粒度级别的Workout中——“谁有权访问,何时以及如何访问”——然后将其提供给每个云提供商以协助执行这些计划。“云计算供应商需要赢得用户的信任,”他补充道。采用新兴技术根据安全专家的说法,政策、治理甚至双因素身份验证等传统安全措施虽然必不可少,但尚不可用。不足以处理跨多个云传播工作负载的复杂性。企业必须采用旨在使企业安全团队能够更好地管理和实施其多云安全策略的新兴技术。Gallego和其他人指出了云访问安全代理(CASB)等解决方案,其中企业在它们自己和云服务提供商之间提供本地软件,以集成和实施安全措施,例如身份验证、凭证映射、设备配置、加密和恶意软件检测.他们还列出了人工智能技术,可以从中学习然后分析网络流量,以更准确地检测需要人类注意的异常情况,从而限制资源必须调查的良性事件的数量,并将这些资源重定向到最有可能出现问题的事件。他们将继续使用自动化作为优化多云环境安全性的关键技术。“成功的组织是那些将大部分工作自动化并专注于治理和管理的组织,”Spivey指出。此外,Spivey和其他人表示,虽然用于保护跨多个云的数据的确切技术(例如CASB)可能是多云环境所独有的,但他们对总体安全原则的强调遵循了一种解决人员、流程的长期方法,和技术来制定最佳策略。Onapsis首席技术官Perez-Etchegoyen表示:“人们正在谈论不同的技术和不同的场景,并更多地关注数据,但这是组织必须实施的相同概念。”不同,但总体战略将是相同的。”
