构建和维护多云安全的策略

胡立

企业在采用多个云计算服务提供商的云服务时，考虑云平台和每个云服务的具体情况确定安全性至关重要。

有些事情并不是单独出现的，企业采用云计算的方式也是如此，并且随着时间的推移将会增长。除非有特殊情况，企业将采用多个云计算服务提供商的云计算服务。实际上，企业通常采用同一供应商的多个云计算模型或服务，或者使用不同云计算供应商的云计算服务，每个云计算供应商都有不同的配置选项和设置。

采用多云主要有几个原因。在某些组织中，其领导者使用多个云计算提供商的服务作为更大的灾难恢复或业务连续性策略的一部分，建立冗余以帮助确保在服务失败时无法将其删除。

它也可能是无意中发生的。考虑企业并购的情况：如果2家公司合并，一家公司使用云计算提供商A的云计算服务，另一家公司使用云计算提供商B的云计算服务，由于按其规模将业务迁移到其他环境会耗费大量时间和成本，合并后的公司在一段不确定的时间内同时维护2个云计算服务。这也可能发生在企业并购之外，例如同一公司的2个业务部门做出不同的购买决策。另外，在这种情况下，不要将采用的影子IT作为驱动因素。

无论它是如何发生的，现在很多企业都在处理多云面临的问题，无论是否采用同一个云计算供应商的多个云服务。例如使用一家云计算供应商的IaaS和PaaS服务的公司，采用不同云计算供应商的类似服务。从安全专业人员的角度来看，这种情况具有挑战性。每个云计算提供商和云计算服务都有不同的安全模型、的安全工具、配置参数、仪表盘和联系点。而将所有细节放在一起，并创建一个连贯的多云安全策略是必须的措施。

确定云计算范围

企业安全团队如何才能最好地解决这个问题，并确保多云安全？考虑一些战略选择，但作为起点，企业首先要做的是掌握其范围：采用多少个云计算供应商的云计算服务；它们的用途是什么，由谁使用；具体来说，使用的是什么。

这些信息可能会随时间的推移而改变；因为某个给定的服务在这一秒没有被正确使用并不意味着有人不会在10分钟后开始使用它。

与其对所使用的服务进行清点，不如建立一个流程来定期更新列表，这可以通过一些机会来完成。例如，在进行连续性计划的业务影响分析时，需要留意云计算服务的使用情况。

如何完成申请评估？查找并记录云计算服务使用情况。

如何进行内部审计？记录任何云计算服务使用情况。

如果有更多的云计算服务可以在电子表格中进行跟踪（在大型组织中很可能是这种情况或者也跟踪SaaS），则可以使用清单工具。在记录每个问题时，记录一个联系点，联系到该联系点以提出其他问题。

整合多云安全策略

一旦了解了范围信息，下一步是处理与每个服务相关的细节。

此时，需要对已确定服务的特定安全考虑因素和模型进行一些自我教育。具体情况因服务而异，但在技术层面和程序层面了解保护服务所涉及的内容和相关内容非常重要。这包括有助于保护它们的任何其他工具，例如AWS的GuardDuty、Azure的Sentinel和SaaS系统的日志记录等。要完全理解这一点，需要从企业用户收集有关服务的其他详细信息。这就是在识别服务时记录联系点非常重要的原因。

理解与安全密切相关的操作职责重疊很重要，即需要提供的内容与通过云计算提供商提供的工具或流程提供的内容相比，有时将被明确记录。例如，Microsoft Azure和AWS文档共享责任以及提供者或客户是否负责安全操作和管理的各个方面。对于规模较小的提供商或SaaS产品来说，这些细节不那么明确，但仍需要在规划阶段进行说明。

此外，了解可用于协助的各种工具至关重要。例如，IaaS供应商可能拥有用于监控的复杂工具，而SaaS供应商可能只提供更少的应用程序、用户活动或API日志。由于采用多个云计算供应商的云计算服务，因此这些供应商之间的工具集会有所不同。供应商A可以提供对不同工具的访问，并通过不同的接口访问，而供应商B不能。采用更多云计算供应商的服务使这项工作更加复杂，因此将多云安全策略放在一起最终意味着需要熟悉这些选项，将安全目标映射到该区域，确定并采用云计算供应商提供的工具和资源，并确定尚未涵盖的领域，以便在后续规划中系统地解决这些问题。