混合云安全已經經過一段時間的發(fā)展。云計算帶來了各種維度，這些維度需要一種方法來擴展當前的政策、實踐和技能。必須采取以企業(yè)為中心的視圖，以實現集中可見性、保護控制和控制風險。

圖中列表與下文中的描述一致。

編輯搜圖

1.安全策略

擁有私有云和公共云環(huán)境(混合云和多云)的企業(yè)應明確定義云安全策略以監(jiān)控和執(zhí)行保護控制。該政策應涵蓋監(jiān)管合規(guī)要求(例如 PCI、HIPAA、ISO、FFIEC、GDPR、政府或國家級要求等)、企業(yè)控制、數據駐留、隱私評估的需求。

他們應根據云服務提供商定義的共享責任模型和必須納入的客戶團隊責任來確定覆蓋范圍。監(jiān)管政策不斷變化，企業(yè)風險和合規(guī)團隊必須監(jiān)控、評估和整合這些變化。

2.網絡彈性計劃

企業(yè)還應將其網絡彈性計劃擴展到云。他們必須考慮針對云環(huán)境的額外響應方案。風險管理人員應在計劃中包括頻繁的進攻性測試、桌面練習、員工教育，并將所有云環(huán)境納入其中。

3.安全互連

擁有多個私有數據中心設施的企業(yè)將通過支持電信的網絡連接在它們之間實現安全連接。強烈建議從數據中心擴展支持電信的連接，利用云原生連接，例如(直接連接、快速路由)以及 Equinix 等互連位置。

連接方法將支持私有云和公共云之間的安全傳輸。在互連處啟用深度數據包檢查可以提供額外的保證，以監(jiān)控和管理受信任和不受信任區(qū)域之間的連接和流量管理。

通過這種方法，通過企業(yè)標識和訪問管理工具擴展用戶訪問權限將得到簡化。對漫游用戶連接到云和私有云環(huán)境的額外監(jiān)控將加強企業(yè)監(jiān)控。

4.保護控制平面

云服務提供商控制平面或門戶是風險面之一。主賬戶和其他高級特權賬戶可以訪問在云本地啟用的計算、存儲元素、數據、格式模板、安全性和合規(guī)性配置。

對控制平面擁有更高權限的用戶可以在移動部門或離開公司時擁有相同的訪問權限。如果用戶是惡意的或意外刪除、修改了基于云的資產，對用戶的這種訪問可能會使企業(yè)面臨風險。

企業(yè)應該了解所有簽約的云服務提供商和相關的控制平面。風險管理人員應保管云服務提供商提供的主帳戶。安全管理人員應僅通過公司 ID 嚴格管理啟用具有較高權限的個人。

用戶的入職和離職必須按照安全策略的定義進行管理。積極就業(yè)和持續(xù)業(yè)務需要訪問，或者提升特權必須經常審查。強烈建議使用多因素身份驗證并擴展到企業(yè)身份以降低風險。

也建議使用 Privileged-id 管理和監(jiān)控其使用情況，以跟蹤用戶行為并防止對云資源的無意刪除或修改。

5.保護數據平面

除了支持第三方供應商提供商安全工具之外，云服務提供商還支持原生云安全功能。每個云服務提供商都在這些功能上都有細微差別;它們被深入到工作負載部署方法的自動化過程中。

迄今為止發(fā)生的大多數數據泄露事件都是云配置錯誤造成的。VPC、安全組、IAM 控制、密鑰管理服務等功能的配置由客戶端負責。

它們必須根據工作負載部署進行適當設計，并持續(xù)監(jiān)控與設計標準的任何偏差，并應立即采取糾正措施。

云原生安全功能是服務提供商支持的類似產品的特性。這些是云環(huán)境結構的一部分。需要專業(yè)的云服務提供商知識來啟用、創(chuàng)建、執(zhí)行策略并持續(xù)監(jiān)控它們。所以建議對應用程序開發(fā)和安全團隊的技能開發(fā)進行投資。

6.衛(wèi)生監(jiān)控和補救

缺乏基本衛(wèi)生是利用混合多云環(huán)境的企業(yè)的最高風險因素。衛(wèi)生的定義范圍從識別為 COTS 軟件(操作系統(tǒng)、應用程序、中間件)的一部分的漏洞、自定義應用程序、訪問管理控制、根據公司安全策略進行的系統(tǒng)強化。

作為公司政策的一部分，應根據基于風險的漏洞排名持續(xù)監(jiān)控衛(wèi)生狀況和適當的漏洞管理、對零日漏洞實施二級控制、識別操作系統(tǒng)上的偏差、應用程序級強化并通過自動化立即修復它們。

7.集成的安全和合規(guī)管理

云控制平面、工作負載、應用程序的安全和合規(guī)是相互交織的。必須以自動化和集成的方式監(jiān)控和評估本機到云配置和工作負載配置的所有資產、合規(guī)性狀況。監(jiān)控、漂移分析并利用補救措施來保護環(huán)境，同時利用補救措施來證明環(huán)境的合規(guī)性狀態(tài)。

8.“關鍵資產”的發(fā)現和保護

客戶必須了解關鍵資產，并對其進行分類。隨著企業(yè)利用混合多云環(huán)境來支持他們的工作負載，也可以通過云訪問核心數據和關鍵客戶數據。

客戶需要發(fā)現這些資產的使用情況，啟用額外的全天候監(jiān)控和管理措施，例如安全訪問、傳輸、監(jiān)控和管理云配置、防止數據丟失以保護和防止任何對核心數據的入侵和數據泄露。

9.企業(yè)安全可見性和響應

對于具有混合環(huán)境工作負載(VM、基于容器的工作負載、無服務器功能)的企業(yè)客戶，用戶活動和數據移動發(fā)生在私有到云、多云環(huán)境之間。通常，云服務提供商支持對云中的工作負載、用戶活動和本機服務進行日志記錄和遙測。

必須使用 SIEM 或安全分析工具將基于云的遙測集成到私有和多云遙測中。通過安全分析工具應用的關聯規(guī)則將識別異?；顒?、配置偏差、對用戶或基于云的配置的過多權限以及數據泄露等。

監(jiān)控工具成為單一窗口，為混合多云環(huán)境提供企業(yè)可見性。通過響應自動化平臺或云原生功能實現自動化執(zhí)行策略將有助于立即進行保護并將風險降至最低。

10.影子 IT 和影子數據的可見性和保護

訪問云控制平面可幫助用戶靈活地以云速度部署工作負載。標準工作負載保護、衛(wèi)生控制、強化、網絡安全、云原生配置可能不會作為工作負載部署的一部分啟用。

未經適當分類、駐留監(jiān)控、隱私評估而存儲在不同云服務中的數據會導致更高的安全風險，并可能使客戶面臨適用于 GDPR 的罰款。

在沒有適當監(jiān)控的情況下實施 IT 并將數據從私有環(huán)境移動到公共環(huán)境會產生影子 IT 和影子數據。影子IT通常成為入侵者利用系統(tǒng)進行攻擊的最脆弱攻擊面，并將其用作通過合法連接進一步擴展到客戶端混合環(huán)境的途徑，或使用這些系統(tǒng)發(fā)起外部攻擊。

客戶應該有一個企業(yè)安全策略來啟動具有基本保護和衛(wèi)生控制的工作負載。安全監(jiān)控和管理工具應通過全天候監(jiān)控和自動響應系統(tǒng)檢測并防止影子 IT 和數據。

安全管理者應強制執(zhí)行編排器、代理、具有內置安全和合規(guī)技術的形成模板、策略監(jiān)控和管理服務，以使用戶遵循公司標準并將其鏈接到全天候的監(jiān)控和管理。

11.監(jiān)控自動化

使用形成模板進行自動化部署，使用云服務提供商功能、元服務、API、微服務、訪問分配和密鑰監(jiān)控和管理云原生的工作負載是云結構的一部分。

建議企業(yè)為這些服務啟用審計日志記錄。安全運營管理者應將來自這些來源的遙測數據匯總到支持云服務提供商的安全分析平臺或客戶端 SIEM，以檢測和管理異?；顒?。

利用自動化來監(jiān)控和管理自動化。利用 SRE、Chaos Monkey、滲透測試等技術不斷檢查自動化和實用程序。

12.左移

創(chuàng)新、應用程序現代化、快速應用程序開發(fā)和部署的發(fā)生主要歸功于業(yè)務部門決策和負責BU的 DevOps 團隊。

DevOps 團隊主要專注于通過云可用功能、開源實用程序、采用持續(xù)集成/持續(xù)交付工具來改進應用程序增強。綜合安全性和合規(guī)性尚未考慮或納入該方法。

DevOps 團隊還可能假設云提供的基礎架構足以保證安全，并且主要集中在應用層控制上。在工作負載分析期間，建議企業(yè)了解新構建或將工作負載遷移到云的應用程序安全性、公司合規(guī)性、法規(guī)合規(guī)性和隱私要求。客戶必須評估共享責任，即作為云的一部分內置，由客戶添加以滿足需求。

部署在公共云中的工作負載必須利用云配置、原生云安全功能或第三方供應商產品來保護，即使在開發(fā)/測試/預生產模式下也是如此。

13.人與文化

只有當人的文化、流程和工具得到增強并適應采用云環(huán)境帶來的細微差別時，以上所有才可能實現。開發(fā)人員應采用安全設計或威脅建模概念來識別生命周期早期的漏洞，以便他們可以在部署易受攻擊的應用程序之前對其進行補救。堅持嚴格的衛(wèi)生和謹慎使用云配置將有助于團隊避免意外的數據泄露。

14.專注于技能提升

云和云安全為行業(yè)現有的技能差距帶來了另一個維度。在整合云配置、利用本地到云提供的安全功能時，需要具備深厚的云服務提供商環(huán)境專業(yè)知識。

進入云計算領域的企業(yè)應該投資于提高現有員工的技能，或者通過計劃來獲取技能熟練的員工，以規(guī)劃的方式將他們整合到當前的團隊中。

必須向團隊提供適當的培訓，讓他們在利用特定云服務提供商標準的同時，利用企業(yè)定義的標準。

通過應用這些指導原則，大多數風險都會得到緩解。隨著混合云的進一步發(fā)展，可以在這些基本原則的基礎上構建其他原則。