三大挑戰當前，如何構建多云下的安全策略？

Mary K. Pratt Charles

安全專家指出，隨著多云環境的發展，出現了很多安全最佳實踐，所有企業在制定自己的安全策略時都應該采取一些關鍵步驟。

一旦出現數據泄露或者入侵警報，安全部門會立即進入高速運轉狀態，拼盡全力去阻止破壞，確定原因。

即使IT部門在企業自己的基礎設施上運行其所有操作，這項任務也是非常有挑戰性的，而且，隨著企業將更多的工作負載先遷移到云端，然后遷移到多個云供應商那里，這項任務變得越來越復雜。

云服務供應商RightScale發布的《2018年云計算狀況報告》顯示，在997名受訪的技術專家中，有77%的受訪者認為云安全是挑戰，29%認為這是一項重大挑戰。

安全專家表示，他們對此結果并不感到意外，特別是考慮到RightScale調查的81%的受訪者使用的是多云策略。

管理咨詢公司Protiviti的技術咨詢實踐總經理兼全球負責人Ron Lefferts評論說：“在多云環境下，怎樣實現和管理安全控制變得更加復雜。”

他以及一些其他安全領導指出，隨著更多的工作負載遷移到云端，企業把安全放在首位是比較明智的。

多云安全挑戰

但他們也應該認識到，多云環境帶來了更多的挑戰，應將其看做整體安全策略的一部分加以解決。

專注于IT治理的專業協會ISACA的董事、前董事會主席Christos K. Dimitriadis認為，“在這個多云的環境中，一切都關乎協調——在合同、技術和人員方面都是如此。如果發生事故，需要確保所有實體都協調一致，確保他們協同工作，目的是找到漏洞并進行分析，制定改進計劃，以便更有效地進行控制。”

本文介紹安全專家指出的多云環境中復雜安全策略的三個因素。

·日益復雜。在多個云供應商以及擴展了大量連接點的網絡之間協調安全策略、流程和響應，這些都會增加復雜性。

非營利行業組織云安全聯盟（CSA）的ERP安全工作組聯席主席Juan Perez-Etchegoyen研究員解釋說：“如果你把數據中心擴展到了世界上的多個地方。那就必須遵守數據中心所在國家和地區的法規。我們要面對如此之多，并且數量還在不斷增長的法規，這些法規促使企業去實施很多控制功能和機制，所有這些都增加了我們保護數據的復雜性。”

·缺乏可見性。IT部門通常并不知道企業其他部門使用的所有云服務，這些部門可以輕松地繞過企業IT去自行采購軟件即服務產品或者其他基于云的服務。

Dimitriadis說：“因此，我們不得不努力保護數據，努力保護服務，努力保護業務，但卻對數據在哪里沒有清晰的認識。”

·新威脅。咨詢公司安全風險管理有限公司的創始人兼首席執行官Jeff Spivey說，企業安全領導還應該認識到，多云環境的出現可能會帶來新的威脅。

他說：“我們正在創造一些我們還不知道其中所有漏洞的東西，我們會在前進過程中發現這些漏洞。”

構建多云策略

安全專家指出，隨著多云環境的發展，出現了很多安全最佳實踐，所有企業在制定自己的安全策略時都應該采取一些關鍵步驟。

Dimitriadis指出，首先要知道數據所在的所有云，并確保企業有健壯的數據治理程序，該程序“能夠全面了解數據，知道哪些IT服務和資產與信息相關。”

不過，他說，當數據遷移到云中并在不同的云平臺之間傳送時，采取這些基本措施就變得更加關鍵了。

統計數據說明了為什么擁有強大的安全基礎設施如此重要的原因：畢馬威和甲骨文的《2018年云計算威脅報告》調查了450名網絡安全和IT專業人士，報告稱90%的企業將一半基于云的數據列為敏感數據。

報告還發現，82%的受訪者擔心員工不遵守云安全政策，38%的受訪者存在云安全事件檢測和響應問題。

ISACA的部門領導、賽門鐵克首席技術官辦公室的策略師兼拓展專員Ramsés Gallego說，為應對這類情況，企業應該對信息進行分類，建立安全層。之所以制定此措施，是因為認識到并非所有數據都需要相同級別的可信和驗證才能進行訪問或者鎖定。

安全專家還建議企業實施其他常規安全措施，作為保護多云環境的必要基礎層。除了數據分類策略之外，Gallego還建議使用加密、身份和訪問管理（IAM）解決方案，例如，雙重身份驗證。

畢馬威新興技術風險服務業務的合伙人Sailesh Gadia負責公司的云風險咨詢業務，他指出，企業隨后需要對其政策和架構進行標準化處理，以確保應用和自動化功能盡可能一致，以幫助不會偏離這些安全標準。

Gadia解釋說：“企業需要多大的投入取決于數據的風險和敏感性。因此，如果你使用云進行非機密的數據存儲/處理，那么就不需要像處理機密信息的云那樣的安全方法。”

他還指出，標準化和自動化帶來了效率，這不僅降低了總成本，而且還使得安全領導們能夠把更多的資源用于價值更高的任務中。

專家指出，這些基本要素應該成為更廣泛、聯系更緊密的策略的一部分，當企業采用框架來管理安全工作時，會做得很好。通用框架包括美國國家標準和技術研究所的NIST、ISACA的信息相關技術控制目標（COBIT）、ISO 27000系列，以及云安全聯盟的云控制矩陣（CCM）。

設定供應商的期望

Dimitriadis說，所選擇的框架不僅能指導企業，還應該指導供應商。

他解釋說，“我們需要做的是把這些內容納入與云供應商的協議中。然后就能夠圍繞你要保護的數據和服務建立控制功能。”

安全專家指出，與云供應商的談判以及隨后的服務協議應該解決要提供的數據隔離類型、數據存儲在哪里，以及供應商一方誰可以訪問數據等問題，如果出現問題，供應商應該怎樣應對——包括他們將怎樣與其他云供應商合作和協調，為企業提供服務。

Spivey認為：“要明確期望是什么，以及怎樣衡量這些期望。必須清楚地了解你能從每家供應商那里得到什么服務，以及他們是否具有管理和控制服務的功能和能力。”

但是不要把太多的安全權限讓給云供應商，Gallego說。

云供應商通常通過強調他們代表企業客戶所做的工作來銷售他們的服務，雖然這些工作的確包括安全服務，但Gallego指出，“這還不夠。他們從事的是云業務，而不是安全業務。”

因此，他說，企業安全領導們必須把他們的安全計劃制定到很細的層面上——“誰有權訪問哪些內容，以及什么時候、怎樣訪問”，然后將其交給每家云供應商以協助執行這些計劃。

他補充說：“云供應商需要贏得我們的信任。”

采用新興技術

然而，據安全專家的說法，政策、治理甚至傳統的安全措施（例如，雙重身份驗證）雖然都是必要的，但還不足以處理多個云之間分散的工作負載所帶來的復雜性。

企業必須采用旨在使企業安全部門能夠更好地管理和實施其多云安全策略的新興技術。

Gallego和其他專家介紹了一些解決方案，例如，云訪問安全代理（CASB），企業在自己和云服務供應商之間放置的本地軟件，目的是鞏固和加強身份驗證、憑證映射、設備配置分析、加密和惡意軟件檢測等安全措施。

他們還列出了人工智能技術，該技術學習并分析網絡流量，從而更準確地檢測應引起人類注意的異常事件，減少了要耗費資源進行調查的良性事件的數量，把資源重新應用于最有可能出現問題的地方。

他們指出，應繼續使用自動化作為優化多云環境安全的關鍵技術。正如Spivey所指出的：“成功的企業是那些能夠自動完成大部分工作而專注于治理和管理的企業。”

此外，Spivey和其他專家還指出，雖然用于在多云之間保護數據的專業技術（例如，CASB）可能是多云環境所特有的，但必須強調總體安全原則應遵循長期以來的方法，即針對人、流程和技術來制定最佳策略。

Perez-Etchegoyen也是Onapsis公司的首席技術官，他說：“我們討論了不同的技術，不同的場景，更關注數據，但要實現的是相同的概念。對于多云環境，技術方法會有所不同，但總體策略是一樣的。”