隨著(zhù)公司繼續探索與多個(gè)提供商合作的好處，多云越來(lái)越受歡迎。雖然多云提供了許多優(yōu)勢，但依賴(lài)多個(gè)供應商和云也會(huì )增加攻擊面和整體風(fēng)險。如果一家公司希望保護資產(chǎn)和數據的安全，多云安全絕不能是事后的想法。本文介紹了多云安全性以及這種云計算方法的獨特挑戰。我們還提供了可用于設計和維護安全的多云設置的最佳實(shí)踐列表。

什么是多云安全？

多云安全是公司用來(lái)確保多云環(huán)境安全的一組策略、策略和解決方案。這種類(lèi)型的安全性使企業(yè)能夠享受多云的好處，而不會(huì )將數據和資產(chǎn)暴露在網(wǎng)絡(luò )威脅之下。

多云安全的最大挑戰是管理和保護來(lái)自不同云提供商的環(huán)境。具有不同功能和規則的多家供應商使云安全任務(wù)復雜化，包括：

• 確保一致的安全控制。
• 建立可靠的訪(fǎng)問(wèn)管理。
• 識別和應對漏洞。
• 維護安全的整體觀(guān)點(diǎn)。

通常，云提供商負責其云的安全，而客戶(hù)負責云中的安全。提供者的工作是：

• 確保云基礎架構安全、可靠且是最新的。
• 保護主機和數據中心。
• 為客戶(hù)提供保護數據的能力（多因素驗證向量、訪(fǎng)問(wèn)管理軟件、加密工具等）。

部署多云的公司負責團隊如何使用和保存每個(gè)云基礎架構中的數據。內部團隊需要：

• 設計通用安全架構。
• 確保運營(yíng)符合相關(guān)法律法規。
• 定義訪(fǎng)問(wèn)規則和權限。
• 處理云監控。
• 設置備份。
• 識別和響應安全事件。
• 設計安全的部署流程。
• 使第三方工具保持最新。
• 設置數據丟失防護 (DLP)。
• 定義云災難恢復的步驟。

大多數公司依靠多個(gè)角色來(lái)處理這些任務(wù)，在 CISO、DevOps 團隊和安全運營(yíng)中心 (SOC)之間分配職責。

多云安全風(fēng)險

未能設置適當的多云安全性的主要風(fēng)險是：

• 由于缺乏保護或人為錯誤而丟失敏感數據。
• 由于合規檢查失敗而支付罰款。
• 停機時(shí)間延長(cháng)或應用性能不佳會(huì )損害客戶(hù)體驗。
• 成為導致數據泄露的惡意軟件的受害者。
• 允許未經(jīng)授權的用戶(hù)訪(fǎng)問(wèn)內部數據。
• 由于丟失私人用戶(hù)數據而遭受聲譽(yù)打擊。

這些危險是一般使用云計算的常見(jiàn)風(fēng)險，無(wú)論是在單云還是多云設置中。但是，公司必須在多云環(huán)境中保護更大的攻擊面，而純粹的復雜性使問(wèn)題更有可能發(fā)生。以下是使多云比單一云更具風(fēng)險的主要挑戰：

• 團隊必須配置、保護和管理多個(gè)基礎設施。
• 每個(gè)平臺都需要持續維護。
• 每個(gè)提供商都有獨特的安全策略、控制和粒度。
• 攻擊者有更多方法來(lái)滲透設置。
• 監控必須考慮到云部署的全部范圍。
• 團隊必須連接和集成來(lái)自不同供應商的各種服務(wù)。

實(shí)現多云數據安全的最佳實(shí)踐

公司需要完善的安全策略來(lái)確保多云不會(huì )導致漏洞。以下是11 種多云安全最佳實(shí)踐?，可幫助您在多個(gè)提供商和環(huán)境之間安全地分散工作負載。

圍繞合規制定安全戰略

在多云中實(shí)現合規性的第一步是了解適用于您的業(yè)務(wù)的標準和法規。公司需要考慮的常見(jiàn)法規示例是數據隱私法（即GDPR 和 CPA）、HIPAA和PCI。

法規適用于特定行業(yè)和位置，因此在開(kāi)始部署之前了解您的多云需要遵守什么。一旦您知道期望是什么，請使用法律要求：

• 概述相關(guān)數據的生命周期。
• 定義安全控制。
• 設置訪(fǎng)問(wèn)管理。
• 對所有云數據進(jìn)行分類(lèi)。
• 組織足夠的存儲空間。

請記住，每個(gè)云平臺都有不同的合規性功能和認證。您甚至可以在單個(gè)云上運行具有不同合規性規則的單獨工作負載?？紤]使用自動(dòng)化工具持續審核跨云的合規性并生成有關(guān)潛在違規行為的報告。

智能策略管理

公司應制定一套安全策略，以在所有云環(huán)境中實(shí)施并簡(jiǎn)化安全操作。政策定義：

• 可接受的數據類(lèi)型。
• 云所有權。
• 身份驗證和訪(fǎng)問(wèn)規則。
• 云工作負載安全和網(wǎng)關(guān)。
• 安全分析。
• 監管規則和當前合規狀態(tài)。
• 云遷移協(xié)議。
• 威脅建模、優(yōu)先級和情報。
• 每種攻擊類(lèi)型的響應計劃。

雖然環(huán)境之間的一些不兼容性很常見(jiàn)，但使用標準化策略作為起點(diǎn)將：

• 加快配置和部署。
• 降低疏忽和人為錯誤的風(fēng)險。
• 確?？缍嘣频囊恢滦?。

如果您在多個(gè)云中運行相同的操作，您應該同步策略。例如，當使用多云來(lái)確?？捎眯詴r(shí)，兩個(gè)云應該具有相同的安全設置。團隊應該使用一種工具來(lái)同步兩個(gè)提供商之間的設置，并創(chuàng )建一個(gè)具有適用于兩個(gè)云的通用定義的策略。

利用自動(dòng)化

多云安全的一個(gè)重要風(fēng)險因素是人為錯誤。通過(guò)自動(dòng)化盡可能多的任務(wù)，企業(yè)可以：

• 減少員工犯錯的可能性。
• 為團隊增加敏捷性。
• 加快與云相關(guān)的流程。
• 確?？绛h(huán)境的一致性。

自動(dòng)化應該在多云安全中發(fā)揮至關(guān)重要的作用。例如，每個(gè)新容器或虛擬機都可以通過(guò)自動(dòng)安全掃描。使用自動(dòng)化的另一種方法是運行測試安全控制的連續檢查。

采用DevSecOps是公司開(kāi)始思考自動(dòng)化在云計算安全中的作用的絕佳方式。DevSecOps 將安全視為核心考慮因素，而不是事后考慮，這是確保多云安全的理想方法。

簡(jiǎn)化多云工具堆棧

您不應依賴(lài)提供商的本地工具和第三方解決方案的組合，而應投資于單一的總體工具，以提供跨多云的無(wú)縫安全性。否則，您將面臨以下風(fēng)險：

• 導致安全漏洞的不良集成。
• 人為錯誤的可能性更高。
• 雇用比您需要的更多的員工。
• 過(guò)多的維護給團隊帶來(lái)了負擔。

確保您選擇的工具能夠：

• 與不同的云服務(wù)無(wú)縫集成。
• 與您的應用程序和工作負載一起擴展。
• 提供數據活動(dòng)的實(shí)時(shí)更新。

此外，您的安全工具應該有一個(gè)單一的管理平臺，管理員可以通過(guò)它管理跨云的應用程序和數據。單一視圖工具簡(jiǎn)化了蔓延并使安全團隊更加有效。

設置多云監控

多云需要強大的監控，將來(lái)自不同平臺的事件、日志、通知和警報整合到一個(gè)位置。另一個(gè)重要功能是擁有一個(gè)可以自動(dòng)解決問(wèn)題或在修復期間提供指導的工具。

除了整合和自動(dòng)修復之外，您的監控工具還應該：

• 可擴展以滿(mǎn)足不斷增長(cháng)的云基礎架構和數據量。
• 提供持續的實(shí)時(shí)監控。
• 為所有警報提供上下文。
• 允許團隊創(chuàng )建自定義通知。

充分利用審計日志

審核日志記錄與云租戶(hù)相關(guān)的所有更改，包括：

• 增加新用戶(hù)。
• 訪(fǎng)問(wèn)權限授予。
• 登錄時(shí)長(cháng)。
• 登錄期間的用戶(hù)活動(dòng)。

審核日志對于多云安全至關(guān)重要，因為此活動(dòng)有助于：

• 識別惡意行為。
• 在網(wǎng)絡(luò )攻擊開(kāi)始之前發(fā)現漏洞。
• 發(fā)現代碼或與云相關(guān)的問(wèn)題。
• 運行操作故障排除。

此外，審計日志是某些行業(yè)的官方記錄，公司可以使用日志向審計員證明合規性。

依靠數據加密和機密計算

加密是保護本地和云端數據的有效方法。多云安全策略應加密靜態(tài)和傳輸中的數據：

• 靜態(tài)加密保護不通過(guò)網(wǎng)絡(luò )移動(dòng)的存儲數據。如果入侵者破壞了數據庫，沒(méi)有解密密鑰就不可能解密數據。
• 傳輸中的加密可在信息通過(guò)網(wǎng)絡(luò )傳輸時(shí)保護數據。如果入侵者通過(guò)中間人攻擊或竊聽(tīng)來(lái)攔截數據，則數據仍然是安全的。

除了保護靜止數據和移動(dòng)數據之外，您還應該加密所有調度、監控和路由通信。徹底的加密可確保有關(guān)您的基礎架構和應用程序的信息保密。

除了加密靜態(tài)和傳輸中的數據外，多云安全策略還應包括機密計算，以確保數據在使用時(shí)不會(huì )變得脆弱。使用中加密通過(guò)在處理過(guò)程中加密工作負載來(lái)提供對云數據的全面保護。

實(shí)踐租戶(hù)隔離

租戶(hù)隔離是提高多云安全性的一種簡(jiǎn)單有效的方法。租戶(hù)隔離要求團隊確保：

• 每個(gè)應用程序都在單獨的租戶(hù)中運行。
• 所有環(huán)境（開(kāi)發(fā)、測試、登臺、生產(chǎn)等）都在各個(gè)租戶(hù)內運行。

為了獲得額外的安全性和敏捷性，您還可以使用著(zhù)陸區。登陸區域允許團隊使用預定義的訪(fǎng)問(wèn)管理基線(xiàn)、數據安全性、治理和日志記錄規則快速設置多租戶(hù)環(huán)境。

執行最小特權原則

每個(gè)員工應該只能訪(fǎng)問(wèn)該員工履行其職責所必需的資源。這個(gè)最小特權原則有幾個(gè)目的：

• 隔離關(guān)鍵任務(wù)和敏感數據。
• 如果攻擊者入侵帳戶(hù)，則降低攻擊者在系統中橫向移動(dòng)的能力。
• 幫助企業(yè)遵守數據隱私和安全法律。

在多云環(huán)境中，使用云提供商的本地工具來(lái)控制訪(fǎng)問(wèn)并不是一個(gè)好主意。來(lái)自不同供應商的解決方案不能很好地協(xié)同工作，并產(chǎn)生增加風(fēng)險的孤島。相反，請使用一個(gè)整體工具來(lái)集中所有云的訪(fǎng)問(wèn)控制。

請注意不要因缺少訪(fǎng)問(wèn)權限或審批流程緩慢而阻礙團隊。相反，創(chuàng )建一個(gè)簡(jiǎn)單而透明的流程來(lái)分配訪(fǎng)問(wèn)權限，這有助于保護多云，而不會(huì )減慢操作速度。

定期備份云數據

定期對數據和系統進(jìn)行云備份。無(wú)論您決定將備份存儲在內部還是云中，都應遵循以下幾個(gè)良好做法：

• 使用不可變備份確保攻擊者即使破壞多云也無(wú)法加密或刪除數據。
• 每天多次備份數據。
• 為每個(gè)云保留單獨的備份以簡(jiǎn)化恢復。
• 使用零信任策略確保備份安全。
• 使用持續掃描惡意數據備份的工具。

除了備份，多云安全策略還需要災難恢復計劃。設計一個(gè)既能快速恢復數據又能在保留云上保持服務(wù)可用的計劃。

建立持續改進(jìn)的文化

每個(gè)多云安全策略都必須經(jīng)過(guò)定期評估，以確保防御符合最新標準。為確保安全性不會(huì )落后太多，團隊應該：

• 定期檢查軟件更新。
• 密切關(guān)注公司如何保護數據以及犯罪分子如何破壞系統，緊跟最新的網(wǎng)絡(luò )安全趨勢。
• 定期與外包專(zhuān)家和在內部進(jìn)行漏洞評估。
• 確保所有第三方工具都是最新的最新更新。
• 不斷尋找新的方法來(lái)使安全性更加自動(dòng)化和高效。

將安全性用作多云戰略的基石

在開(kāi)始多云之旅之前，任何謹慎的公司都必須考慮并考慮安全需求。確保安全是您戰略的基礎，并創(chuàng )建一個(gè)多云，以提高您的靈活性，而不會(huì )讓您容易受到網(wǎng)絡(luò )威脅。