然而，多云方法也带来了挑战，特别是在安全方面。

事实上，根据Check Point软件技术公司发布的《2025年云安全报告》，CISO将管理多云和混合云列为企业面临的最大网络安全挑战之一，该挑战在报告中排名第三，仅次于保护高价值资产和知识产权以及增强威胁可见性和检测能力。

不过，保障多云环境的安全并非单一挑战，而是一系列挑战。以下是CISO及其团队在这一领域面临的最显著的五大挑战。

1. 实现所有云的充分可见性

这一挑战在众多安全领导者中位居首位。

经验丰富的CISO承认，长期以来，无论是在本地还是全部在云端，获取准确且完整的IT环境视图都是一项艰巨的任务，但他们强调，在横跨多个云服务提供商的环境中，这项任务变得更加复杂和困难。

这种蔓延使得CISO更难以“确信他们正在全面审视整个环境，正在寻找所有正确的事物，并且没有遗漏任何安全环节。”Protiviti咨询公司全球基础设施、云和安全工程实践负责人Randy Armknecht说道。

当然，CISO对其所有云部署都有一定的可见性。实际上，他们可能对其中一个云环境(通常是企业首次采用的云)具有极高的可见性，因为他们在首次迁移到该云时投入了大量资源来培训团队使用该提供商的可观测性工具。

然而，随着企业扩展到其他云设置，CISO经常缺乏资源(时间、技能和工具)来扩展这种可见性，Armknecht说。

而且，即使CISO及其团队对每个云服务提供商提供的可观测性工具非常熟悉，他们通常仍然难以管理来自这些多个工具的信息，他补充道。

“大多数安全从业者在一个云中比在其他云中更得心应手，他们可能对其中一个云感觉非常好，但对其他云却没有同样的信心。”Armknecht解释道。

技术进步正在帮助CISO克服这一挑战。Armknecht指出了诸如云原生应用保护平台(CNAPP)等提供多云可观测性的工具。

他认为使用这些工具是必要的。“我主张尽快实现全面可见性，我可不想在会议桌上被问及为什么我们不知道导致泄露的问题。”他说。

2. 平衡统一安全程序的简便性与特定于提供商的方法的优势

一些CISO选择为其整个云环境实施单一安全程序，而另一些则采取特定于云的方法。每种策略都有其优缺点，IANS研究机构教员兼公共部门CISO Wolfgang Goerlich说道。

“如果你对所有云都一视同仁，如果你有一个统一的安全程序，那就意味着你没有使用原生安全工具，也没有从每个云中发掘出价值，而且，并非所有解决方案都能从每个云服务提供商准确地拉取数据，也并非所有应用都能像原生工具那样精细，”他解释道，“但如果你采用原生方法，如果你深入每个云，你就会增加更多技术，并且可能没有团队能够跨不同云工作，因此你在流程、人员和技术方面会面临更多挑战。”

Goerlich并没有将一种选项列为优于另一种，而是强调了在制定企业安全计划时需要权衡每种选项的利弊。

“这全在于权衡，”他说，“你可以按云企业团队以从原生能力中获取更多价值，或者让你的团队对每个云都有足够的了解以实施变革，或者采取更高层次的方法而不使用原生工具。”

3. 缺乏保障多个云安全所需的广泛而深入的技能

保障多云环境的安全所需的技能比保障单一环境的安全所需的技能更多——这一要求给已经在努力跟上保护现代企业所需的所有技能的CISO带来了更多压力。

此外，团队所具备的技能往往分布不均。

“大多数公司倾向于一个云，他们的技能也集中在那个云服务提供商上，但这意味着他们缺乏其他云服务提供商的技能。”IANS研究机构教员兼Bedrock Security首席安全官George Gerchow说道。

例如，一个擅长从AWS收集日志的团队可能没有自信在Azure中处理同样的任务，反之亦然，他说。“即使从高级层面来看，不同云服务提供商的日志本身也不同。如何摄入所有正确的日志以进行安全调查以及如何发现安全漏洞也是不同的。”Gerchow解释道。

制定一个考虑周全的安全策略以平衡统一安全程序的简便性与特定于提供商的方法的优势(挑战2)可以帮助确定所需的技能。

然后，CISO需要一个扎实的培训计划以确保员工具备在多云环境中以及与每个云服务提供商成功执行策略所需的技能，Gerchow说。换句话说，CISO必须投入足够的资源来培训员工，使其能够在企业使用的每个云中有效工作。

4. 正确配置

在任何环境中正确配置都是一项艰巨的任务，但安全领导者表示，多云环境的规模和范围使得这项任务变得极具挑战性，Gerchow说。这是因为每个云服务提供商都有自己的一套服务、API和管理界面，以及自己的管理配置规则和系统。

综合考虑，这给安全团队带来了更多压力，他们不仅必须学习和掌握所有特定于云的工具和技术，还必须跟踪哪些工具和技术适用于哪个云服务提供商，以确保他们不会犯配置错误。

错误很常见：Check Point的《2024年云安全报告》发现，在经历公共云安全事件的受访者中，有23%将原因归咎于配置错误。常见的配置错误包括过于宽松的访问控制、暴露的存储桶、未加密的数据和不足的网络分段——所有这些都可能导致数据泄露和未经授权的访问。

5. 正确进行身份和访问管理

CISO在多云环境中面临类似的身份和访问管理(IAM)挑战，Microsoft负责金融服务与州政府网络安全顾问的前康涅狄格州CISO Jeffrey Brown说道。

需要明确的是，CISO在本地和单一云环境中也面临IAM挑战，但他们在多云环境中正确进行IAM面临的挑战更多，因为他们必须跨不同云服务提供商工作，每个提供商都有自己的IAM系统、运营模型、政策和程序，而且，他们必须为每个云管理用户身份、角色和访问控制机制。

所有这些都给CISO带来了更多需要跟踪和管理的内容。

此外，多云环境还有更多需要跨多个云管理的非人类实体(如API和服务)，这进一步增加了多云环境中IAM的复杂性和规模。

当然，每个身份都必须在其生命周期内进行管理——这进一步加大了挑战的规模。所有这些都可能导致——并且经常导致——政策不一致以及访问控制的监控和执行不一致。

这一挑战如此重大，以至于Brown将身份和访问管理列为安全团队在多云环境中面临的首要挑战，然而，这并不是一个不可克服的问题，他说。

“如果你没有一个正式的程序，那就将其正式化。你需要指定一名高管来负责该程序，无论是你作为CISO还是其他人。不能没有人负责，”他说。实施“强认证措施以及一个全面、统一的策略”。

CISO如果在这方面遇到困难，应该从小处着手，他补充道，重点关注特权用户，这些用户比标准用户拥有对企业系统和数据的更高层级访问权限，因此由于这种更高层级的访问权限，他们更经常成为黑客的目标。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。