對于任何企業(yè)而言，無論其規(guī)模大小，確保多云環(huán)境的安全性都是一項挑戰(zhàn)，幸運的是，一些相對簡單的技術(shù)和常識性的安全實踐就能在很大程度上抵御攻擊者，確保多云環(huán)境更加安全且具有彈性。

為了在不影響企業(yè)安全性的前提下充分利用多云環(huán)境的價值，請考慮以下八大建議：

1.建立集中化的安全機構(gòu)

安全最終是一項共享責(zé)任，安全服務(wù)公司Security Compass的首席產(chǎn)品官Trevor Young表示。“盡管如此，多云安全的管理和戰(zhàn)略方向最好由一個集中化的安全團(tuán)隊或企業(yè)內(nèi)的專職人員來負(fù)責(zé)。”

無論是團(tuán)隊還是專職人員，這個角色都將負(fù)責(zé)定義整體安全策略、建立一致的政策和標(biāo)準(zhǔn)、選擇和管理跨云安全工具，并確保所有云環(huán)境中的合規(guī)性。“他們將作為協(xié)調(diào)者，與各個應(yīng)用團(tuán)隊和云所有者緊密合作。”Young說。

2. 創(chuàng)建統(tǒng)一的安全治理

應(yīng)建立一個統(tǒng)一的安全治理模型，涵蓋所有云環(huán)境，并由集中化的身份管理、可見性、自動化和策略執(zhí)行來支持，安全服務(wù)公司NCC Group的總監(jiān)兼高級顧問Nigel Gibbons建議道。

Gibbons表示，這種方法通過在所有云提供商之間創(chuàng)建一致的安全控制來最小化復(fù)雜性和孤立性。“它減少了盲點，通過集中化身份(如Microsoft Entra ID或Okta)實施最小權(quán)限原則，實現(xiàn)了實時威脅檢測，并通過應(yīng)用相同的標(biāo)準(zhǔn)簡化了合規(guī)性，無論云平臺如何。”他說。

一個由CISO或云安全架構(gòu)師領(lǐng)導(dǎo)的集中化云安全團(tuán)隊或云卓越中心(CCoE)應(yīng)處理所有安全方面的問題，Gibbons說。“他們應(yīng)與DevOps、平臺和合規(guī)團(tuán)隊協(xié)調(diào)，以執(zhí)行一致的政策并監(jiān)督所有環(huán)境中的風(fēng)險。”他表示。

3. 擴(kuò)大你的范圍

單云安全通常只關(guān)注該提供商提供的特定安全工具和服務(wù)，Security Compass的Young說。“隨著時間的推移，你會對它們的生態(tài)系統(tǒng)非常熟悉。”

Young指出，多云安全增加了處理不同提供商的額外復(fù)雜性，每個提供商都有自己獨特的安全模型、服務(wù)和術(shù)語。“你不能僅僅依賴一個云提供商的原生工具，并期望它能覆蓋所有方面。”他說。多云環(huán)境需要一個更廣泛、更與供應(yīng)商無關(guān)的策略。

許多企業(yè)在沒有統(tǒng)一策略的情況下采用了每個提供商的原生安全工具，Young說，這種方法可能導(dǎo)致政策不一致、覆蓋范圍有缺口以及難以跨云關(guān)聯(lián)安全事件。“這就像有不同的安全人員誰也不交流，卻保護(hù)著同一棟建筑的不同部分——漏洞是肯定會存在的。”他說。

4. 構(gòu)建統(tǒng)一的信任邊界

建議不要從云的角度思考，安全軟件和服務(wù)公司XYPRO的CISO Steve Tcherchian說。“將所有環(huán)境——無論是AWS、Azure、本地部署還是遺留大型機——都視為一個統(tǒng)一信任邊界的一部分。”他建議道。圍繞身份、數(shù)據(jù)流和上下文構(gòu)建控制，而不是平臺。“一旦你按云來設(shè)計安全，你就已經(jīng)分割了控制，并且你將很難跟上。”他說。

統(tǒng)一的信任邊界將安全錨定在常量上——用戶、數(shù)據(jù)和意圖，Tcherchian說。“云只是管道，”他表示，“癡迷于云原生工具的CISO和安全團(tuán)隊往往事后才補救解決方案。”

5. 分擔(dān)責(zé)任

“多云安全應(yīng)該是CISO、云架構(gòu)師、DevOps和安全工程團(tuán)隊之間的共同責(zé)任，”威脅情報和安全運營提供商SOCRadar的CISO Ensar Seker說，“但最終的責(zé)任應(yīng)落在CISO身上，他必須確保安全政策與技術(shù)無關(guān)、一致執(zhí)行，并與業(yè)務(wù)風(fēng)險承受能力保持一致。”他建議道。

“打破團(tuán)隊之間的壁壘并確保跨云可見性集中在一個統(tǒng)一的SecOps功能下至關(guān)重要。”他補充道。

多云不僅僅是一種技術(shù)策略。“它是一種業(yè)務(wù)彈性策略，其安全態(tài)勢必須反映這一事實，”Seker說，“企業(yè)應(yīng)投資于反映跨云攻擊模式的云威脅情報，并部署運行時監(jiān)控和策略漂移檢測以保持持續(xù)保證，”他說，“在當(dāng)今的環(huán)境中，沒有統(tǒng)一安全性的云蔓延不僅是一種風(fēng)險，更是一種責(zé)任。”

6. 建立協(xié)作的管理環(huán)境

有效的安全管理需要安全團(tuán)隊與其他關(guān)鍵利益相關(guān)者之間的協(xié)作參與，Centric Consulting的安全服務(wù)總監(jiān)Brandyn Fisher說。強大的協(xié)作確保所有安全措施將有效地與并支持更廣泛的業(yè)務(wù)目標(biāo)保持一致。

Fisher說，根據(jù)企業(yè)的企業(yè)結(jié)構(gòu)和復(fù)雜性，協(xié)作通常包括解決方案架構(gòu)師、云專家和系統(tǒng)管理員。“最有效的方法是建立明確的責(zé)任分工。”他指出。

通常，安全團(tuán)隊定義要求和治理框架，而實施則由一個專門的技術(shù)團(tuán)隊來完成。“這種平衡的方法保持了明確的所有權(quán)，同時促進(jìn)了跨多個云環(huán)境進(jìn)行全面安全管理所需的跨職能協(xié)作。”他說。

隨著云技術(shù)的快速發(fā)展，很容易變得自滿，F(xiàn)isher觀察到。“保持警惕和積極主動至關(guān)重要，這意味著要通過行業(yè)會議、培訓(xùn)機會和積極參與專業(yè)社區(qū)來不斷發(fā)展團(tuán)隊技能。”他說。

7. 考慮統(tǒng)一的檢測和響應(yīng)策略

一個跨所有云環(huán)境運行的統(tǒng)一威脅中心檢測和響應(yīng)策略是抵御甚至最狡猾攻擊者的有效方法，網(wǎng)絡(luò)安全平臺提供商Intezer的現(xiàn)場CISO Mitchem Boles說。“通過將AWS、Azure、Google Cloud Platform和其他提供商的警報和行為關(guān)聯(lián)到一個集中化系統(tǒng)中，安全團(tuán)隊可以專注于真正的威脅，而不是與警報疲勞作斗爭。”他說。

Boles認(rèn)為這種方法非常有效，因為它通過行為關(guān)聯(lián)和自動化來突破云原生警報的泛濫，并快速識別真正的威脅。“它使團(tuán)隊能夠更快地響應(yīng)，同時減少在復(fù)雜環(huán)境中進(jìn)行手動分類的工作量。”他指出。

多云安全需要跨提供商管理不一致的工具、日志和身份模型，這引入了潛在的盲點，Boles說。“與單云設(shè)置不同，多云需要一個統(tǒng)一的視圖來確保所有平臺上的可見性、策略執(zhí)行和分類。”他說。

8. 控制云訪問

“關(guān)鍵在于縮小攻擊面，”數(shù)字工作區(qū)提供商Kasm Technologies的首席技術(shù)傳教士Jaymes David說。“通過限制對云資源的訪問，使用短期、隔離的會話，你將減少惡意軟件滯留或有人闖入不應(yīng)進(jìn)入?yún)^(qū)域的機會，”他說，“添加會話記錄、SIEM集成、數(shù)據(jù)泄露防護(hù)(DLP)，甚至水印，你將擁有一個可追蹤、可執(zhí)行且可審計的強大安全故事。”他表示。

Bad actors(惡意攻擊者)并不關(guān)心你使用的是一個云還是五個云，David說。“然而，從操作角度來看，多云確實增加了復(fù)雜性。”他建議道。關(guān)鍵挑戰(zhàn)是在所有平臺上一致地管理策略執(zhí)行。“諷刺的是，我認(rèn)為如果你過度依賴單云且沒有構(gòu)建彈性，那么單云設(shè)置可能更危險。”他說。