对于任何企业而言，无论其规模大小，确保多云环境的安全性都是一项挑战，幸运的是，一些相对简单的技术和常识性的安全实践就能在很大程度上抵御攻击者，确保多云环境更加安全且具有弹性。

为了在不影响企业安全性的前提下充分利用多云环境的价值，请考虑以下八大建议：

1.建立集中化的安全机构

安全最终是一项共享责任，安全服务公司Security Compass的首席产品官Trevor Young表示。“尽管如此，多云安全的管理和战略方向最好由一个集中化的安全团队或企业内的专职人员来负责。”

无论是团队还是专职人员，这个角色都将负责定义整体安全策略、建立一致的政策和标准、选择和管理跨云安全工具，并确保所有云环境中的合规性。“他们将作为协调者，与各个应用团队和云所有者紧密合作。”Young说。

2. 创建统一的安全治理

应建立一个统一的安全治理模型，涵盖所有云环境，并由集中化的身份管理、可见性、自动化和策略执行来支持，安全服务公司NCC Group的总监兼高级顾问Nigel Gibbons建议道。

Gibbons表示，这种方法通过在所有云提供商之间创建一致的安全控制来最小化复杂性和孤立性。“它减少了盲点，通过集中化身份(如Microsoft Entra ID或Okta)实施最小权限原则，实现了实时威胁检测，并通过应用相同的标准简化了合规性，无论云平台如何。”他说。

一个由CISO或云安全架构师领导的集中化云安全团队或云卓越中心(CCoE)应处理所有安全方面的问题，Gibbons说。“他们应与DevOps、平台和合规团队协调，以执行一致的政策并监督所有环境中的风险。”他表示。

3. 扩大你的范围

单云安全通常只关注该提供商提供的特定安全工具和服务，Security Compass的Young说。“随着时间的推移，你会对它们的生态系统非常熟悉。”

Young指出，多云安全增加了处理不同提供商的额外复杂性，每个提供商都有自己独特的安全模型、服务和术语。“你不能仅仅依赖一个云提供商的原生工具，并期望它能覆盖所有方面。”他说。多云环境需要一个更广泛、更与供应商无关的策略。

许多企业在没有统一策略的情况下采用了每个提供商的原生安全工具，Young说，这种方法可能导致政策不一致、覆盖范围有缺口以及难以跨云关联安全事件。“这就像有不同的安全人员谁也不交流，却保护着同一栋建筑的不同部分——漏洞是肯定会存在的。”他说。

4. 构建统一的信任边界

建议不要从云的角度思考，安全软件和服务公司XYPRO的CISO Steve Tcherchian说。“将所有环境——无论是AWS、Azure、本地部署还是遗留大型机——都视为一个统一信任边界的一部分。”他建议道。围绕身份、数据流和上下文构建控制，而不是平台。“一旦你按云来设计安全，你就已经分割了控制，并且你将很难跟上。”他说。

统一的信任边界将安全锚定在常量上——用户、数据和意图，Tcherchian说。“云只是管道，”他表示，“痴迷于云原生工具的CISO和安全团队往往事后才补救解决方案。”

5. 分担责任

“多云安全应该是CISO、云架构师、DevOps和安全工程团队之间的共同责任，”威胁情报和安全运营提供商SOCRadar的CISO Ensar Seker说，“但最终的责任应落在CISO身上，他必须确保安全政策与技术无关、一致执行，并与业务风险承受能力保持一致。”他建议道。

“打破团队之间的壁垒并确保跨云可见性集中在一个统一的SecOps功能下至关重要。”他补充道。

多云不仅仅是一种技术策略。“它是一种业务弹性策略，其安全态势必须反映这一事实，”Seker说，“企业应投资于反映跨云攻击模式的云威胁情报，并部署运行时监控和策略漂移检测以保持持续保证，”他说，“在当今的环境中，没有统一安全性的云蔓延不仅是一种风险，更是一种责任。”

6. 建立协作的管理环境

有效的安全管理需要安全团队与其他关键利益相关者之间的协作参与，Centric Consulting的安全服务总监Brandyn Fisher说。强大的协作确保所有安全措施将有效地与并支持更广泛的业务目标保持一致。

Fisher说，根据企业的企业结构和复杂性，协作通常包括解决方案架构师、云专家和系统管理员。“最有效的方法是建立明确的责任分工。”他指出。

通常，安全团队定义要求和治理框架，而实施则由一个专门的技术团队来完成。“这种平衡的方法保持了明确的所有权，同时促进了跨多个云环境进行全面安全管理所需的跨职能协作。”他说。

随着云技术的快速发展，很容易变得自满，Fisher观察到。“保持警惕和积极主动至关重要，这意味着要通过行业会议、培训机会和积极参与专业社区来不断发展团队技能。”他说。

7. 考虑统一的检测和响应策略

一个跨所有云环境运行的统一威胁中心检测和响应策略是抵御甚至最狡猾攻击者的有效方法，网络安全平台提供商Intezer的现场CISO Mitchem Boles说。“通过将AWS、Azure、Google Cloud Platform和其他提供商的警报和行为关联到一个集中化系统中，安全团队可以专注于真正的威胁，而不是与警报疲劳作斗争。”他说。

Boles认为这种方法非常有效，因为它通过行为关联和自动化来突破云原生警报的泛滥，并快速识别真正的威胁。“它使团队能够更快地响应，同时减少在复杂环境中进行手动分类的工作量。”他指出。

多云安全需要跨提供商管理不一致的工具、日志和身份模型，这引入了潜在的盲点，Boles说。“与单云设置不同，多云需要一个统一的视图来确保所有平台上的可见性、策略执行和分类。”他说。

8. 控制云访问

“关键在于缩小攻击面，”数字工作区提供商Kasm Technologies的首席技术传教士Jaymes David说。“通过限制对云资源的访问，使用短期、隔离的会话，你将减少恶意软件滞留或有人闯入不应进入区域的机会，”他说，“添加会话记录、SIEM集成、数据泄露防护(DLP)，甚至水印，你将拥有一个可追踪、可执行且可审计的强大安全故事。”他表示。

Bad actors(恶意攻击者)并不关心你使用的是一个云还是五个云，David说。“然而，从操作角度来看，多云确实增加了复杂性。”他建议道。关键挑战是在所有平台上一致地管理策略执行。“讽刺的是，我认为如果你过度依赖单云且没有构建弹性，那么单云设置可能更危险。”他说。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。