如何构造和保护多云安全策略-英雄云

如何构造和保护多云安全策略

企业在采取多个云计算服务提供商的云服务时，斟酌云平台和每一个云服务的具体情况以保持安全性相当重要。

　　有些事情其实不是单独出现的，企业采取云计算的方式也是如此，并且随着时间的推移将会增长。除非有特殊情况，企业都将采取多个云计算服务提供商的云计算服务，这是一个确实无疑的事实。事实上，企业通常采取同一供应商的多个云计算模型或服务，或使用不同云计算供应商的云计算服务，每一个云计算供应商都有不同的配置选项和设置。

　　采取多云主要有几个缘由。在某些组织中，其领导者可能明确决定使用多个云计算提供商的云计算服务作为更大的灾害恢复或业务连续性策略的一部份，建立冗余以帮助确保在服务失败时没法将其删除。

　　它也多是无意中产生的。斟酌企业并购的情况：如果两家公司合并，一家公司使用云计算提供商A的云计算服务，另外一家公司使用云计算提供商B的云计算服务，那末会产生甚么?由于按其范围将业务迁移到其他环境会耗费大量时间和本钱，合并后的公司极可能会发现自己在一段不肯定的时间内同时保护这两个云计算服务。这也可能产生在企业并购以外，例犹如一公司的两个业务部门做出不同的购买决策。另外，在这类情况下，不要将采取的影子IT作为驱动因素。

　　不管它是如何产生的，现在很多企业都在处理多云面对的问题，不管是采取同一个云计算供应商的多个云服务，例如使用一家云计算供应商的IaaS和PaaS服务的公司采取不同云计算供应商的类似服务。从安全专业人员的角度来看，这类情况都是具有挑战性的。请记住，每一个云计算提供商和每一个云计算服务都将有不同的安全模型、不同的安全工具、不同的配置参数、不同的仪表盘和不同的联系点。而将所有这些细节放在一起，并创建一个联贯的多云安全策略是必须的措施。

　　肯定云计算范围

如何构造和保护多云安全策略

　　事实上，企业安全团队如何才能最好地解决这个问题，并确保多云安全?需要斟酌一些战略选择，但作为出发点，企业首先要做的是掌握其范围：

　　采取多少个云计算供应商的云计算服务?

　　它们的用处是甚么，由谁使用?

　　具体来讲，使用的是甚么?

　　这些问题的答案不但从尽职调查的角度来看很重要，而且还将了解与安全相干的云计算区域和它的用处。需要记住，这些信息可能会随着时间的推移而改变;仅仅由于某个给定的服务在这一秒没有被正确使用其实不意味着有人不会在10分钟后开始使用它。

　　与其对所使用的服务进行盘点，不如建立一个流程来定期更新列表。这可以经过一些机会来完成。举例来看，在进行连续性计划的业务作用分析时，需要留意云计算服务的使用情况。如何完成申请评估?查找并记录云计算服务使用情况。如何进行内部审计?记录任何云计算服务使用情况。如果有更多的云计算服务可以在电子表格中进行跟踪(在大型组织中极可能是这类情况，或也跟踪SaaS)，则可使用清单工具。在记录每一个问题时，记录一个联系点，然后可以联系到该联系点以提出其他问题。

　　整合多云安全策略

　　一旦了解了范围信息，下一步是处理与每一个服务相干的细节。

　　此时，需要对已肯定的服务的特定安全斟酌因素和模型进行一些自我教育。具体情况因服务而异，但在技术层面和程序层面了解保护服务所触及的内容和相干内容非常重要。这可能包括可能有助于保护它们的任何其他工具，例如AWS的GuardDuty、Azure的Sentinel、SaaS系统的日志记录等等。要完全理解这一点，可能需要从企业的用户那里搜集有关服务的其他详细信息。这就是在首先辨认服务时记录联系点非常重要的缘由。

　　理解与安全紧密相关的操作职责的堆叠也很重要，即需要提供的内容与经过云计算提供商提供的工具或流程提供的内容相比。有时这将被明确记录。举例来看，Microsoft Azure和AWS文档同享责任和提供者或客户是不是负责安全操作和管理的各个方面。对范围较小的提供商或SaaS产品来讲，这些细节将不那末明确，但仍需要在计划阶段进行说明。

　　另外，了解可用于协助的各种工具相当重要。举例来看，IaaS供应商可能具有可用于监控的复杂工具，而SaaS供应商可能只提供更少的利用程序、用户活动或API日志。需要记住，由于采取多个云计算供应商的云计算服务，因此这些供应商之间的工具集会有所不同。供应商A可以提供对不同工具的访问，并经过不同的接口访问，而供应商B不能。采取更多的云计算供应商的服务使这项工作更加复杂，因此将多云安全策略放在一起终究意味着需要熟习这些选项，将安全目标映照到该区域，肯定并采取云计算供应商提供的工具和资源，并肯定可能还没有涵盖的领域，以便在后续计划中系统地解决这些问题。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。