如果說安全性的敵人是複雜性，那麼混合雲無疑會帶來一個更強大的敵人。

專家們在這裡就如何應對混合雲環境的挑戰提供了一些建議和參考。

調查顯示，目前幾乎所有的企業都在使用多家雲提供商和大量基於雲的解決方案，也就是說企業IT已經接受了混合雲模型。

分析公司IDC預計，到2022年，全球90%以上的企業將擁有多個公有云。據IT管理解決方案提供商Flexera釋出的《2020年雲現狀報告》顯示，93%的企業部署了混合雲戰略，這一百分比高於兩年前的81%。目前受訪者平均使用的公有云和私有云均為2。2個。

但是傳統企業中公有云和私有云以及SaaS應用程式越來越多的組合也帶來了許多安全問題。

在Flexera的調查中，約83％的企業將安全性列為挑戰，高於對雲支出的管理（82％）和治理（79％）。

諮詢公司Protiviti的新興技術和全球雲實踐主管Randy Armknecht說：“混合雲給安全團隊帶來的挑戰正在持續增長，

服務的釋出數量、新的互動方式、服務與系統的互連等都在不斷髮展，同時也為企業安全模型增加了新的複雜性

。”

混合雲環境的安全性被高度關注並不意外。因為首席資訊保安官們已經意識到他們需要保護的範圍已經從企業內部的基礎設施變成了分佈在不同廠商中的計算資源網。

然而這些廠商提供的服務級別和安全承諾各不相同，這種環境為惡意軟體攻擊、資料洩露、違規和彈性問題帶來了更多的漏洞。

畢馬威（KPMG）技術風險實踐業務的合夥人Sai Gadia說，混合雲架構的複雜性正在成為一種攻擊向量。

“如果傳統的人員、流程或技術中存在漏洞，那麼不法分子就會尋求機會利用這些漏洞。”

複雜性越來越高

技術供應商Blissfully在《2020年SaaS趨勢報告》中指出，目前傳統的企業IT基礎設施和解決方案堆疊不僅包括了公有云和私有云部署，還包括了大量不同的SaaS產品（平均數量為288種）。

不同構成要素有著不同的安全要求，內建的安全功能的級別和型別也各不相同。

各家雲提供商使用工具也不盡相同，即便是同一類工具，他們的術語往往也不一樣。此外，這些雲提供商在安全方面的責任也是不同的。

所有這些使得首席資訊保安官不得不將它們整合為一個整體，以記錄雲服務的安全功能是否夠用，是否需要更多的安全性，以及在何處需要什麼樣的額外安全措施。

451 Research負責資訊保安渠道的高階研究分析師Garrett Bekker說：“我們通常認為雲服務可以讓我們的生活變得更簡單，並且它們可以透過多種方式實現，可以為我們提供很多好處。但是從安全的角度來看，由於它們要做的事情太多，因此也增加了很多複雜性。”

在甲骨文和畢馬威（KPMG）的《2020年雲威脅報告》中，受訪者認為複雜性是一項重大挑戰。其中，70％的受訪者認為保護其公有云足跡需要太多的專用工具，78％的受訪者則指出，在雲端駐留和本地應用程式之間需要在不同的安全策略和流程。

這些問題又帶來了另一個我們熟悉的安全問題：缺乏可見性。

Security Curve的創始合夥人兼ISACA（國際資訊系統審計協會）混合雲環境安全影響管理團隊的首席開發者Ed Moyle指出：“使用者難以從各家提供商那裡獲得所有的不同資訊，以確定統一的管理視角。”

Very Good Security的首席資訊保安官Kathy Wang稱，可見性挑戰來自多個層面。例如，企業安全團隊無法深入瞭解企業的所有云部署（尤其是那些由業務部門直接購買的SaaS產品）。即使這樣做了，他們也仍然難以監控所有的雲部署並從中發現問題。另外，對事件管理工具的資料進行編譯和解讀也是一件非常困難的事情。

制定策略

制定混合雲安全策略首先要確定企業使用的所有云，確保企業擁有強大的資料治理程式以指導與雲相關的安全決策，以及在正確的位置部署正確的工具，從而確保控制級別適當。

在《混合雲環境安全性影響管理》報告中，ISACA指出，“要想讓多家提供商都能發揮作用，企業必須調整他們的工具、流程、監控功能、運營思路，以及與安全規劃相關的諸多要素。”

Gadia認為目前首席資訊保安官正在朝著這個方向發展。他指出，甲骨文和畢馬威的調查報告顯示，企業的雲安全架構師的數量要多於安全架構師。儘管如此，許多安全團隊還需要進一步增加具備能夠建立安全雲架構所需全部技能的人員數量。

以下是增強混合雲安全性的三大關鍵步驟。

關注應用程式和資料

混合雲環境中應用程式安全的重要性不可低估。Micro Focus公司的安全風險與治理主管RamsésGallego說：“如今，依靠強大而可靠的方法來強化和保護應用程式的安全比以往任何時候都更重要。這意味著不僅要確保程式碼沒有漏洞，同時還要確保應用程式正在使用的庫被及時更新且沒有漏洞。”

Gallego補充說：“

資料管理、資料最小化以及最重要的資料匿名化和加密是企業要構建混合雲架構的支柱。

和土木工程一樣，基礎必須牢固，並且按照一些法規中要求的那樣，必須要有適當的資料遮蔽和資料隱藏策略。”

使用正確的工具

考慮到嵌入在不同雲產品中的安全功能的變化，將工具與技術進行適當組合可以滿足不同企業的雲解決方案組合。首席資訊保安官需要明確哪些解決方案在哪裡工作，並選擇可以跨越雲環境的解決方案，從而為安全場景建立單一的管理平臺。

專家建議引入雲訪問安全代理（CASB），以及可在企業和雲服務提供商之間強化身份驗證、憑證對映、裝置配置檔案、加密和惡意軟體檢測等安全措施的軟體。

此外，專家還建議使用雲安全狀態管理（CSPM），這是一種更新的技術，其可根據安全要求評估企業雲環境，從而保證雲配置能夠持續滿足相關的要求與規定。

雲安全聯盟（CSA）下設的ERP安全工作組的研究員Juan Perez-Etchegoyen說：“ CASB雖然很重要，但是它們的重點是SaaS，相比之下，CSPM則更為全面地專注於所有云服務模型（IaaS、PaaS、SaaS）。”

增強安全性

安全領導者還建議首席資訊保安官採取零信任態度，並大力部署可支援零信任安全模型的技術。該模型會假設連線是不可信的，除非它們可以證明自己是可信的。

Gadia說：“在零信任安全模型中，雲資產的安全性不依賴於擴充套件網路中的受信使用者和裝置，零信任只取決於需要的最低特權/訪問許可權。在允許使用者訪問雲環境中的資源之前，所有使用者和裝置都需要經過驗證。”

Moyle表示，雖然這種思維方式將所有未經驗證的東西都視為不可信任，但是它們可幫助安全團隊保護企業免受未經批准的雲部署、影子IT以及安全性不達標的雲提供商的侵擾。Moyle解釋說：“這並不是說提供商無法提供很好的安全性，這只是預先假定環境是危險的，併為此進行了有針對性的設計而已。”

最後，專家建議，那些希望提高混合雲環境安全性的首席資訊保安官應先確保已有能夠支援相關安全標準的流程，同時完成長期一直主導安全性的傳統的人員-流程-技術方法的改造和更新。

這些工作需要企業內部所有相關部門之間進行協作，從而在業務需求、安全目標和合規性義務之間實現平衡。

作者：本文作者Mary K。 Pratt為自由撰稿人

編譯：陳琳華