進行安全云遷移的7個注意事項

王英哲

地球上每4個組織中就有3個有某種云的存在。根據2018年IDG的一項調查，77 %的企業現在在云中至少有一個應用程序或部分企業計算基礎設施。在同一份報告中還透露，他們計劃在云應用、平臺和服務上平均投資350萬美元。

展望未來，包括制造業、高科技和電信在內的技術依賴型行業的高管管理正日益朝著100 %支持云計算的方向發展。這也意味著，除了那些以完整的基于云的基礎架構開始的新創業公司之外，大多數組織目前正在積極地將基礎架構和/或應用程序遷移到云，并嘗試在本地物理層之間橋接其業務流程、應用程序和工作流。網絡和駐留在公共云中的一個或多個網絡，如果他們現在沒有這么做，將來也會去做。

這些組織面臨的挑戰之一是在本地和基于云的資源之間創建一致的安全態勢。事實上，并不是所有的安全策略都能在多云環境中成功實現，尤其是在使用多種工具時。這是因為大多數供應商解決方案并不支持所有主要云平臺，許多還不支持本地云集成。當工作流和應用程序在不同的云環境中移動時，可能會在執行一致性和策略定義方面帶來挑戰，從而導致安全漏洞和盲點。

成功地將安全性遷移到云

將基礎設施、應用程序或服務遷移到云，而不擴展攻擊面或增加安全開銷，需要仔細準備。首先要理解任何基于云的部署，無論是構建新的基礎設施還是構建新的應用程序，都需要在業務、IT和安全團隊之間進行清晰的通信。如果沒有關于業務需求和目標的清晰溝通，沒有對相關威脅的坦率討論，組織就會面臨一系列新的風險，包括針對云資源的拒絕服務攻擊、云惡意軟件注入、Web應用程序開發、云API攻擊以及帳戶或服務劫持。

成功的云遷移還需要將安全性遷移到云，從而使組織能夠部署和管理跨越整個多云基礎設施的安全框架。以下是組織在規劃云采用或云遷移策略時都應該考慮的7個步驟：

步驟1：在遷移到云之前確定您的安全性

很多組織圍繞隔離安全設備構建的安全架構，但都是分散管理并且安全策略不一。如果您的組織屬于這種情況，則需要首先控制安全蔓延并實施中央安全策略。一旦到位，您需要提出以下問題：

是否了解當前的安全狀況及其對未來業務目標的影響？

是否為當前和未來的環境制定了適當的政策和程序？是否對云將如何改變您的安全范例進行了差距分析？分布式，基于云的網絡對風險管理有何影響？

步驟2：規劃帶寬要求

您需要建模并了解數據流和帶寬要求，以確保安全解決方案能夠滿足性能要求，尤其是對于需要通過虛擬專用網絡（VPN）隧道的延遲敏感型服務。

步驟3：了解合規性問題

對于在云上處理和存儲的數據，以及在不同云和物理網絡環境之間移動的數據，您需要滿足哪些要求？在開始構建或采用任何類型的云計劃之前，咨詢您的法律團隊至關重要。

步驟4：提供高可用性和災難恢復

在解決安全問題之后，大多數尋求云解決方案的組織最擔心的是基于云資源的可用性。您還需要了解是否需要動態擴展以及安全解決方案是否可以滿足新的性能要求。最后，需要考慮流對稱和負載平衡等問題，尤其是對于遺留應用程序，以便保持可用性，性能和保護———即使在使用基于動態云的服務時也是如此。

步驟5：在正確的地方應用正確的安全

云安全性不僅需要在云基礎架構的周邊放置防火墻。根據運行的應用程序和使用的服務，需要應用各種安全解決方案。下一代防火墻解決方案是最常用的安全工具，但通常還需要其他解決方案，包括WAF，IPS / IDS，CASB。

步驟6：建立生命周期管理框架

確保安全解決方案與策略實施之間的一致性，尤其是跨越多個環境時至關重要。安全工具需要特別選擇，不僅因為他們能夠在特定的云平臺中本地運行，而且還因為他們能夠在整個安全策略生命周期內與其他環境中部署的姐妹解決方案無縫進行互操作。包括：一致的安全更改策略、動態配置和擴展、單點管理（包括與中央ITSM解決方案的集成以及中央日志的收集和關聯。

步驟7：不要讓云的易用性使你陷入快捷安全

采用云服務就像點擊鏈接一樣簡單。添加新的基于云的基礎架構雖然復雜得多，但卻比構建物理對應簡單得多。但這可能過于簡單化，太多的組織在沒有仔細考慮與安全性相關挑戰的情況下，就匆忙地采用新的云解決方案，為此付出了代價。從向網絡開放新的攻擊載體，到對新的基于云的威脅毫無準備，再到因未能對新的遵從性考慮做好充分準備而受到的罰款和處罰，不一而足。

在開始構建新的云基礎架構、平臺或服務之前，仔細準備可以節省時間、金錢和聲譽，使您能夠在當今的新數字市場中有效競爭。