多云环境下的安全挑战与防护建议

随着云计算技术的广泛应用，业务系统上云给企业带来了诸多便利。但在上云过程中，越来越多的企业不愿意“将鸡蛋全都放在一个篮子里”，而是会根据不同业务系统的特性、对网络带宽质量的要求、数据的敏感性以及政策合规等多方面原因，选择多个云或者混合云模式来部署不同的业务系统。这使得多云技术架构应用得到了快速发展，同时也引入了新的安全问题，给企业多云环境应用带来新的风险和挑战。

云计算的应用会存在安全漏洞，不法分子可能会利用这些漏洞来谋取利益。而应用多云环境的组织，除了会面临传统的云安全威胁，也需要面对多云环境自身的应用挑战：

每家云提供商都用一套专有方式来识别云上资产，难以通过统一的规则来命名一些关键属性。例如，为了识别实例，AWS使用了“实例ID”，Azure使用了“虚拟机ID”，而GCP则使用“虚拟机实例ID”。因此对于采用多云策略的组织来说，如何实现统一化的管理、报告和分析，具有很大的挑战性。

不同云环境之间的应用差异仍然较为严重，安全能力、安全策略、安全操作习惯等均有较大的不同，用户难以通过统一的方式对庞大的资产进行运维和管理，因此可能因为安全策略不统一导致安全管理工作的疏漏，并由此引发新的安全风险。

大多数云服务商提供的内置服务只适用于自身的云平台上。当业务需求驱使组织采用多云策略时，这种孤岛现象可能导致严重问题，势必需要一种满足安全需求的有效控制措施。为了保持竞争优势，各大CSP（Cloud Service Provider，云服务提供商）都提供各自的安全工具供客户使用，但是实现方式差异很大，没有统一的标准，企业学习、使用的难度较大。同时，不同云之间使用了不同的运营术语，这无疑也增加了多云环境的安全运营难度。

传统云环境中存在主机安全、应用安全和数据安全等问题，在多云环境中依旧存在，而在网络层，由于业务层面通过隧道或代理打通多云或云上云下环境，让多云环境的安全防护边界更加模糊。

企业组织需要进一步保障多云架构下业务运行安全，在原有云安全能力基础上，全面升级为统一服务、统一运营、统一运维、统一调度、统一配置以及统一权限的多云安全一体化防护体系。

“看不见的东西往往难以保护”，所以应该洞察尽可能多的资产。企业组织应该积极与CSP（云计算服务提供商）合作以获得更全面的云资产可见性，也可以考虑购买或订购第三方云原生解决方案，以实现持续收集数据，并通过统一的管理中心控制所有云应用的配置管理。企业的安全团队和运营团队还应该选择可以同时管理内部资产和云资产的工具。

为了加强多云安全，企业应该实施自动化安全流程，以处理日常任务，并实施能自行修复安全问题的编排程序。组织可以通过自动化、机器学习和人工智能来帮助安全团队开展运营工作，技术创新可以帮助安全团队提升工作效率，处理更多事务，比如规范数据、建立基准、检测异常、自动执行重复任务、快速检索信息以及自动执行标准化安全策略和配置。

组织需要将自动化安全流程集成到编程和应用程序开发中，将安全能力融入到云应用的开发中。通过安全能力左移，可以将安全测试和安全技术迁址到软件开发的早期阶段。在多云安全领域，安全“左移”需要把更多的自动化、安全和网络功能直接融入到应用程序开发中，以便安全人员根据应用程序要求，匹配相应的安全能力和措施。

每家CSP对于其所需要承担的安全责任都会有不同的想法。企业要充分了解这些具体的责任，并相应地制定云安全策略：首先，云服务提供商应该提供关于客户如何考虑和降低风险的有效建议并加以实施，同时还应该对如何管理风险实施自己的内部控制；其次，云供应商应该列出各种风险及各自的解决方案，提供完善的服务水平协议，隐私保护政策等能够承担责任的说明；最后，多云企业用户应该明确自身和多云厂商的责任和角色，能够清楚的说明每个云服务提供商的责任有哪些。

组织需要搞清楚每家CSP的基础设施、安全工具（比如谷歌云安全指挥中心或Azure安全中心）、API接口规范及其他技术事项。企业只有了解到每家服务提供商的工作原理及特点后，才能实现统一的资源管理、访问控制策略设计、统一操作模式，同时简化安全运营和管理的难度。

企业应该通过锁定端口、访问途径、应用程序接口等方式加固云基础设施，并将基础设施即代码（IaC）解决方案集成到云管理流程中。组织不应该让任何不需要的端口保持敞开，也不应该让任何休眠账户保持活跃，更不能让第三方软件处于失控的状态，IaC将帮助企业安全团队管理这些问题。在多云架构应用中，任何云应用程序和实例都应该按运营策略严格锁定起来，运行最少的服务并不断审视配置状态及管理要求，以确保任何基于云的基础设施尽可能具有弹性。

构建多云环境下的统一身份权限管控平台，是企业开展多云架构应用必须要解决的问题。组织需要能够通过单一系统控制用户访问云和内部平台上的所有资产，实现这个目标不仅要实现单点登录，还要考虑统一身份管控、统一权限管控和云上用户行为审计，这对企业来说具有一定的挑战性。企业可以将基于角色或属性的权限控制整合到多云管理控制台中，或采用零信任的思路构建身份管理能力。

组织可能需要查阅大量日志来修复安全问题及其他问题，这需要消耗大量的存储容量，但是却非常有必要，以便威胁搜索和调查。目前，市面上已经有了大量价格更便宜的云存储服务，企业可以用更低的预算投入，实现对所有日志信息的记录。

https://www.scmagazine.com/resource/cloud-security/how-to-strengthen-your-multi-cloud-security-posture

https://www.darkreading.com/zscaler/5-ways-cybersecurity-for-cloud-workloads-will-evolve-in-2023