構(gòu)建和維護多云安全的策略

胡立

企業(yè)在采用多個云計算服務(wù)提供商的云服務(wù)時，考慮云平臺和每個云服務(wù)的具體情況確定安全性至關(guān)重要。

有些事情并不是單獨出現(xiàn)的，企業(yè)采用云計算的方式也是如此，并且隨著時間的推移將會增長。除非有特殊情況，企業(yè)將采用多個云計算服務(wù)提供商的云計算服務(wù)。實際上，企業(yè)通常采用同一供應(yīng)商的多個云計算模型或服務(wù)，或者使用不同云計算供應(yīng)商的云計算服務(wù)，每個云計算供應(yīng)商都有不同的配置選項和設(shè)置。

采用多云主要有幾個原因。在某些組織中，其領(lǐng)導(dǎo)者使用多個云計算提供商的服務(wù)作為更大的災(zāi)難恢復(fù)或業(yè)務(wù)連續(xù)性策略的一部分，建立冗余以幫助確保在服務(wù)失敗時無法將其刪除。

它也可能是無意中發(fā)生的?？紤]企業(yè)并購的情況：如果2家公司合并，一家公司使用云計算提供商A的云計算服務(wù)，另一家公司使用云計算提供商B的云計算服務(wù)，由于按其規(guī)模將業(yè)務(wù)遷移到其他環(huán)境會耗費大量時間和成本，合并后的公司在一段不確定的時間內(nèi)同時維護2個云計算服務(wù)。這也可能發(fā)生在企業(yè)并購之外，例如同一公司的2個業(yè)務(wù)部門做出不同的購買決策。另外，在這種情況下，不要將采用的影子IT作為驅(qū)動因素。

無論它是如何發(fā)生的，現(xiàn)在很多企業(yè)都在處理多云面臨的問題，無論是否采用同一個云計算供應(yīng)商的多個云服務(wù)。例如使用一家云計算供應(yīng)商的IaaS和PaaS服務(wù)的公司，采用不同云計算供應(yīng)商的類似服務(wù)。從安全專業(yè)人員的角度來看，這種情況具有挑戰(zhàn)性。每個云計算提供商和云計算服務(wù)都有不同的安全模型、的安全工具、配置參數(shù)、儀表盤和聯(lián)系點。而將所有細節(jié)放在一起，并創(chuàng)建一個連貫的多云安全策略是必須的措施。

確定云計算范圍

企業(yè)安全團隊如何才能最好地解決這個問題，并確保多云安全？考慮一些戰(zhàn)略選擇，但作為起點，企業(yè)首先要做的是掌握其范圍：采用多少個云計算供應(yīng)商的云計算服務(wù)；它們的用途是什么，由誰使用；具體來說，使用的是什么。

這些信息可能會隨時間的推移而改變；因為某個給定的服務(wù)在這一秒沒有被正確使用并不意味著有人不會在10分鐘后開始使用它。

與其對所使用的服務(wù)進行清點，不如建立一個流程來定期更新列表，這可以通過一些機會來完成。例如，在進行連續(xù)性計劃的業(yè)務(wù)影響分析時，需要留意云計算服務(wù)的使用情況。

如何完成申請評估？查找并記錄云計算服務(wù)使用情況。

如何進行內(nèi)部審計？記錄任何云計算服務(wù)使用情況。

如果有更多的云計算服務(wù)可以在電子表格中進行跟蹤（在大型組織中很可能是這種情況或者也跟蹤SaaS），則可以使用清單工具。在記錄每個問題時，記錄一個聯(lián)系點，聯(lián)系到該聯(lián)系點以提出其他問題。

整合多云安全策略

一旦了解了范圍信息，下一步是處理與每個服務(wù)相關(guān)的細節(jié)。

此時，需要對已確定服務(wù)的特定安全考慮因素和模型進行一些自我教育。具體情況因服務(wù)而異，但在技術(shù)層面和程序?qū)用媪私獗Ｗo服務(wù)所涉及的內(nèi)容和相關(guān)內(nèi)容非常重要。這包括有助于保護它們的任何其他工具，例如AWS的GuardDuty、Azure的Sentinel和SaaS系統(tǒng)的日志記錄等。要完全理解這一點，需要從企業(yè)用戶收集有關(guān)服務(wù)的其他詳細信息。這就是在識別服務(wù)時記錄聯(lián)系點非常重要的原因。

理解與安全密切相關(guān)的操作職責(zé)重疊很重要，即需要提供的內(nèi)容與通過云計算提供商提供的工具或流程提供的內(nèi)容相比，有時將被明確記錄。例如，Microsoft Azure和AWS文檔共享責(zé)任以及提供者或客戶是否負責(zé)安全操作和管理的各個方面。對于規(guī)模較小的提供商或SaaS產(chǎn)品來說，這些細節(jié)不那么明確，但仍需要在規(guī)劃階段進行說明。

此外，了解可用于協(xié)助的各種工具至關(guān)重要。例如，IaaS供應(yīng)商可能擁有用于監(jiān)控的復(fù)雜工具，而SaaS供應(yīng)商可能只提供更少的應(yīng)用程序、用戶活動或API日志。由于采用多個云計算供應(yīng)商的云計算服務(wù)，因此這些供應(yīng)商之間的工具集會有所不同。供應(yīng)商A可以提供對不同工具的訪問，并通過不同的接口訪問，而供應(yīng)商B不能。采用更多云計算供應(yīng)商的服務(wù)使這項工作更加復(fù)雜，因此將多云安全策略放在一起最終意味著需要熟悉這些選項，將安全目標(biāo)映射到該區(qū)域，確定并采用云計算供應(yīng)商提供的工具和資源，并確定尚未涵蓋的領(lǐng)域，以便在后續(xù)規(guī)劃中系統(tǒng)地解決這些問題。