多云環境下的安全挑戰與防護建議

隨著云計算技術的廣泛應用，業務系統上云給企業帶來了諸多便利。但在上云過程中，越來越多的企業不愿意“將雞蛋全都放在一個籃子里”，而是會根據不同業務系統的特性、對網絡帶寬質量的要求、數據的敏感性以及政策合規等多方面原因，選擇多個云或者混合云模式來部署不同的業務系統。這使得多云技術架構應用得到了快速發展，同時也引入了新的安全問題，給企業多云環境應用帶來新的風險和挑戰。

多云環境的安全挑戰

云計算的應用會存在安全漏洞，不法分子可能會利用這些漏洞來謀取利益。而應用多云環境的組織，除了會面臨傳統的云安全威脅，也需要面對多云環境自身的應用挑戰：

不同云之間的統一化管理

每家云提供商都用一套專有方式來識別云上資產，難以通過統一的規則來命名一些關鍵屬性。例如，為了識別實例，AWS使用了“實例ID”，Azure使用了“虛擬機ID”，而GCP則使用“虛擬機實例ID”。因此對于采用多云策略的組織來說，如何實現統一化的管理、報告和分析，具有很大的挑戰性。

多云使用增加安全隱患

不同云環境之間的應用差異仍然較為嚴重，安全能力、安全策略、安全操作習慣等均有較大的不同，用戶難以通過統一的方式對龐大的資產進行運維和管理，因此可能因為安全策略不統一導致安全管理工作的疏漏，并由此引發新的安全風險。

統一安全運營難度大

大多數云服務商提供的內置服務只適用于自身的云平臺上。當業務需求驅使組織采用多云策略時，這種孤島現象可能導致嚴重問題，勢必需要一種滿足安全需求的有效控制措施。為了保持競爭優勢，各大CSP（Cloud Service Provider，云服務提供商）都提供各自的安全工具供客戶使用，但是實現方式差異很大，沒有統一的標準，企業學習、使用的難度較大。同時，不同云之間使用了不同的運營術語，這無疑也增加了多云環境的安全運營難度。

傳統云安全風險依然存在

傳統云環境中存在主機安全、應用安全和數據安全等問題，在多云環境中依舊存在，而在網絡層，由于業務層面通過隧道或代理打通多云或云上云下環境，讓多云環境的安全防護邊界更加模糊。

多云安全的防護建議

企業組織需要進一步保障多云架構下業務運行安全，在原有云安全能力基礎上，全面升級為統一服務、統一運營、統一運維、統一調度、統一配置以及統一權限的多云安全一體化防護體系。

全面洞察不同云上的資產

“看不見的東西往往難以保護”，所以應該洞察盡可能多的資產。企業組織應該積極與CSP（云計算服務提供商）合作以獲得更全面的云資產可見性，也可以考慮購買或訂購第三方云原生解決方案，以實現持續收集數據，并通過統一的管理中心控制所有云應用的配置管理。企業的安全團隊和運營團隊還應該選擇可以同時管理內部資產和云資產的工具。

實現自動化的安全管理流程

為了加強多云安全，企業應該實施自動化安全流程，以處理日常任務，并實施能自行修復安全問題的編排程序。組織可以通過自動化、機器學習和人工智能來幫助安全團隊開展運營工作，技術創新可以幫助安全團隊提升工作效率，處理更多事務，比如規范數據、建立基準、檢測異常、自動執行重復任務、快速檢索信息以及自動執行標準化安全策略和配置。

將云上的安全防護左移

組織需要將自動化安全流程集成到編程和應用程序開發中，將安全能力融入到云應用的開發中。通過安全能力左移，可以將安全測試和安全技術遷址到軟件開發的早期階段。在多云安全領域，安全“左移”需要把更多的自動化、安全和網絡功能直接融入到應用程序開發中，以便安全人員根據應用程序要求，匹配相應的安全能力和措施。

與每個云服務商共同承擔責任

每家CSP對于其所需要承擔的安全責任都會有不同的想法。企業要充分了解這些具體的責任，并相應地制定云安全策略：首先，云服務提供商應該提供關于客戶如何考慮和降低風險的有效建議并加以實施，同時還應該對如何管理風險實施自己的內部控制；其次，云供應商應該列出各種風險及各自的解決方案，提供完善的服務水平協議，隱私保護政策等能夠承擔責任的說明；最后，多云企業用戶應該明確自身和多云廠商的責任和角色，能夠清楚的說明每個云服務提供商的責任有哪些。

了解每家CSP的服務特點

組織需要搞清楚每家CSP的基礎設施、安全工具（比如谷歌云安全指揮中心或Azure安全中心）、API接口規范及其他技術事項。企業只有了解到每家服務提供商的工作原理及特點后，才能實現統一的資源管理、訪問控制策略設計、統一操作模式，同時簡化安全運營和管理的難度。

加固多云基礎設施

企業應該通過鎖定端口、訪問途徑、應用程序接口等方式加固云基礎設施，并將基礎設施即代碼（IaC）解決方案集成到云管理流程中。組織不應該讓任何不需要的端口保持敞開，也不應該讓任何休眠賬戶保持活躍，更不能讓第三方軟件處于失控的狀態，IaC將幫助企業安全團隊管理這些問題。在多云架構應用中，任何云應用程序和實例都應該按運營策略嚴格鎖定起來，運行最少的服務并不斷審視配置狀態及管理要求，以確保任何基于云的基礎設施盡可能具有彈性。

統一身份和訪問管理

構建多云環境下的統一身份權限管控平臺，是企業開展多云架構應用必須要解決的問題。組織需要能夠通過單一系統控制用戶訪問云和內部平臺上的所有資產，實現這個目標不僅要實現單點登錄，還要考慮統一身份管控、統一權限管控和云上用戶行為審計，這對企業來說具有一定的挑戰性。企業可以將基于角色或屬性的權限控制整合到多云管理控制臺中，或采用零信任的思路構建身份管理能力。

記錄一切能夠審計的數據

組織可能需要查閱大量日志來修復安全問題及其他問題，這需要消耗大量的存儲容量，但是卻非常有必要，以便威脅搜索和調查。目前，市面上已經有了大量價格更便宜的云存儲服務，企業可以用更低的預算投入，實現對所有日志信息的記錄。