云計(jì)算已經(jīng)成為一股主流力量，為現(xiàn)代組織帶來(lái)了規(guī)模經(jīng)濟(jì)和突破性的技術(shù)進(jìn)步，但這不僅僅是一種趨勢(shì)。云計(jì)算以驚人的速度發(fā)展，并且在許多組織中，云計(jì)算與支持關(guān)鍵日常運(yùn)營(yíng)的復(fù)雜技術(shù)環(huán)境交織在一起。

 

這種不斷擴(kuò)展的云環(huán)境帶來(lái)了新的風(fēng)險(xiǎn)類型。業(yè)務(wù)和安全領(lǐng)導(dǎo)者在保護(hù)其現(xiàn)有IT環(huán)境方面已經(jīng)面臨許多挑戰(zhàn)。他們現(xiàn)在還必須找到安全使用多種云服務(wù)，受支持的應(yīng)用程序和底層技術(shù)基礎(chǔ)設(shè)施的方法。

 

安全使用云服務(wù)的需求
組織使用云服務(wù)在云環(huán)境中存儲(chǔ)機(jī)密數(shù)據(jù)已充分證明了云服務(wù)支持的業(yè)務(wù)流程激增。但是，在使用云服務(wù)時(shí)，組織仍不確定是否將其數(shù)據(jù)委托給云服務(wù)提供商（CSP）。CSP通常提供一定級(jí)別的經(jīng)多次調(diào)查得到證實(shí)的安全性，但與云相關(guān)的安全事件確時(shí)有發(fā)生。

 

CSP不能單獨(dú)對(duì)其客戶的關(guān)鍵信息資產(chǎn)的安全性負(fù)責(zé)。云安全同樣依賴于客戶實(shí)施正確級(jí)別的信息安全控制的能力。但是，云環(huán)境復(fù)雜多樣，這妨礙了部署和維護(hù)核心安全控制的一致方法。組織必須意識(shí)到并履行其責(zé)任，共同保護(hù)云服務(wù)，以成功應(yīng)對(duì)日益針對(duì)云環(huán)境的網(wǎng)絡(luò)威脅，這一點(diǎn)至關(guān)重要。

 

云服務(wù)的關(guān)鍵特性
云服務(wù)的易獲得性、相對(duì)較低的安裝成本、而且有機(jī)會(huì)取代不再滿足業(yè)務(wù)需求的傳統(tǒng)技術(shù)，吸引了眾多創(chuàng)業(yè)公司迅速采用云服務(wù)。但是，由于使用多個(gè)云服務(wù)固有的獨(dú)特和多樣的特性，管理安全性并不是一項(xiàng)簡(jiǎn)單的任務(wù)。

 

云服務(wù)涵蓋了廣泛的產(chǎn)品，例如業(yè)務(wù)應(yīng)用程序包括在線ERP系統(tǒng)和在線CRM系統(tǒng)，文檔存儲(chǔ)解決方案，數(shù)據(jù)庫(kù)和虛擬服務(wù)器，所有這些都可以通過(guò)公共網(wǎng)絡(luò)（較常見(jiàn)的是Internet）從選定的CSP中按需購(gòu)買(mǎi)。

 

隨著組織轉(zhuǎn)向云計(jì)算以增強(qiáng)其業(yè)務(wù)運(yùn)營(yíng)，他們更青睞于購(gòu)買(mǎi)云服務(wù)而不是擴(kuò)展傳統(tǒng)的本地IT數(shù)據(jù)中心。通常被稱為云優(yōu)先策略，這種方法已被無(wú)數(shù)組織采用。對(duì)于許多組織而言，這意味著它們幾乎整個(gè)IT基礎(chǔ)架構(gòu)都將托管在云環(huán)境中。    

 

多云環(huán)境的興起
隨著組織獲得新的云服務(wù)，他們通常會(huì)從多個(gè)CSP中選擇這些服務(wù)，因此需要處理由于使用兩個(gè)或多個(gè)CSP服務(wù)而產(chǎn)生的多云環(huán)境。

 

組織偏愛(ài)多云環(huán)境，因?yàn)樗试S他們跨不同的CSP（例如AWS，Microsoft Azure，Google Cloud，Salesforce）選擇喜歡的云服務(wù)。但是，通常不同的CSP采用不同的術(shù)語(yǔ)、不同的特定技術(shù)和方法來(lái)進(jìn)行安全管理。因此，云客戶需要獲得廣泛的技能和知識(shí)，才能安全地使用來(lái)自多個(gè)CSP的不同云服務(wù)。

 

組織需要一系列不同的用戶從組織的網(wǎng)絡(luò)范圍內(nèi)通過(guò)安全的網(wǎng)絡(luò)連接（例如，通過(guò)網(wǎng)關(guān)）來(lái)安全地訪問(wèn)云服務(wù)。然而，企業(yè)也需要其云服務(wù)能夠被企業(yè)合作伙伴和遠(yuǎn)程工作的用戶從外部訪問(wèn)，所有這些用戶都通過(guò)組織指定的安全網(wǎng)絡(luò)連接進(jìn)行連接。

 

克服云安全挑戰(zhàn)
雖然CSP為他們的云服務(wù)提供了一定程度的安全性，這要求組織理解并解決云環(huán)境的復(fù)雜和異構(gòu)方面所帶來(lái)的許多安全挑戰(zhàn)。

 

我們的ISF成員已經(jīng)確定了在云環(huán)境中安全運(yùn)行的幾個(gè)障礙。主要挑戰(zhàn)包括：

• 識(shí)別并維護(hù)適當(dāng)?shù)陌踩刂?br /> • 平衡CSP和云客戶之間的安全共享責(zé)任
• 滿足法規(guī)要求以保護(hù)云環(huán)境中的敏感數(shù)據(jù)

云計(jì)算使用的快速增長(zhǎng)加劇了這些挑戰(zhàn)，在某些情況下，使得組織沒(méi)有足夠的準(zhǔn)備來(lái)處理與使用云服務(wù)相關(guān)的安全問(wèn)題。

 

平衡CSP和云客戶之間的安全共享責(zé)任
確保云服務(wù)的使用是CSP和云客戶之間的共同責(zé)任。CSP承擔(dān)的安全義務(wù)是保護(hù)多租戶云環(huán)境，包括后端服務(wù)和物理基礎(chǔ)結(jié)構(gòu)，以及防止不同客戶之間的數(shù)據(jù)混合。

 

雖然CSP維護(hù)大部分底層云基礎(chǔ)設(shè)施，但云客戶負(fù)責(zé)保護(hù)其數(shù)據(jù)和用戶管理?？蛻舻呢?zé)任是否擴(kuò)展到為應(yīng)用程序，操作系統(tǒng)和網(wǎng)絡(luò)執(zhí)行安全配置，將取決于所選的云服務(wù)模型。

 

這種共享的安全責(zé)任可能會(huì)造成混亂，并導(dǎo)致過(guò)度依賴CSP來(lái)減輕威脅和預(yù)防安全事件。至關(guān)重要的是，云客戶不能完全依賴CSP來(lái)部署適當(dāng)?shù)陌踩胧切枰宄亓私馊绾闻c每個(gè)CSP共享安全責(zé)任，以便識(shí)別和部署必要的安全控制來(lái)保護(hù)云環(huán)境。

 

滿足法規(guī)要求以保護(hù)云環(huán)境中的敏感數(shù)據(jù)
使用本地IT數(shù)據(jù)中心的組織將確切知道其關(guān)鍵數(shù)據(jù)和敏感數(shù)據(jù)位于何處，并且可以完全控制其數(shù)據(jù)的移動(dòng)。這在實(shí)施安全控制時(shí)有很大幫助，而在云環(huán)境中，數(shù)據(jù)可以更自由地進(jìn)出組織范圍。這可能會(huì)掩蓋關(guān)鍵和敏感數(shù)據(jù)的位置以及如何保護(hù)它們，從而可能妨礙組織根據(jù)合規(guī)性要求在其所有云服務(wù)中有效實(shí)施必需的安全控制的能力。

 

雖然云客戶有責(zé)任確保其數(shù)據(jù)在云環(huán)境中的安全性，但客戶對(duì)其數(shù)據(jù)的控制在本質(zhì)上是有限的，因?yàn)閿?shù)據(jù)由外部方(CSP)存儲(chǔ)在異地(通常是在不同的國(guó)家)。此外，處于彈性考慮，CSP經(jīng)常利用地理位置不同的幾個(gè)數(shù)據(jù)中心，以確保組織的數(shù)據(jù)存儲(chǔ)在一個(gè)以上的服務(wù)器上。

 

這在跨國(guó)界管理數(shù)據(jù)、了解數(shù)據(jù)在特定時(shí)刻的位置、確定適用的法律管轄權(quán)和確保遵守相關(guān)法律法規(guī)方面增加了額外的復(fù)雜性——這還是云客戶的義務(wù)，而不僅僅是CSP的。

 

發(fā)揮更大潛力并承擔(dān)責(zé)任
現(xiàn)代組織必須快速運(yùn)作，提供新產(chǎn)品和服務(wù)，以保持競(jìng)爭(zhēng)優(yōu)勢(shì)。因此，許多人選擇進(jìn)一步向云計(jì)算邁進(jìn)，因?yàn)樵品?wù)提供的彈性和可伸縮性提供了競(jìng)爭(zhēng)所需的所需的靈活性。為了使組織有信心在確保重要技術(shù)基礎(chǔ)結(jié)構(gòu)安全的同時(shí)可以遷移到云，需要一種可靠的策略。

 

云環(huán)境已成為網(wǎng)絡(luò)攻擊者的誘人目標(biāo)，突顯了組織增強(qiáng)其現(xiàn)有安全措施的迫切需求。然而，由于云環(huán)境的多樣性和擴(kuò)展性，始終如一地實(shí)施云安全性的基礎(chǔ)可能是一項(xiàng)復(fù)雜的任務(wù)。

 

這只是組織安全使用云服務(wù)需要克服的諸多挑戰(zhàn)之一。組織不能僅依靠CSP來(lái)保護(hù)其關(guān)鍵信息資產(chǎn)，而必須承擔(dān)自己的責(zé)任。這項(xiàng)職責(zé)要求將良好的治理，部署核心控制以及采用有效的安全產(chǎn)品和服務(wù)相結(jié)合。涵蓋網(wǎng)絡(luò)安全，訪問(wèn)管理，數(shù)據(jù)保護(hù)，安全配置和安全監(jiān)視的控件對(duì)于信息安全從業(yè)人員而言并不是新事物，但它們對(duì)于安全使用云服務(wù)至關(guān)重要。

 

展望未來(lái)，組織可以從各種趨勢(shì)和技術(shù)中進(jìn)行選擇，這些趨勢(shì)和技術(shù)將使他們能夠安全地使用云服務(wù)-從采用新產(chǎn)品到嵌入改進(jìn)的流程（例如專注于安全容器），在開(kāi)發(fā)過(guò)程中更加強(qiáng)調(diào)安全性。

 

確保安全地使用服務(wù)將為業(yè)務(wù)領(lǐng)導(dǎo)者提供充分擁抱云所需的信心，從而更大程度地發(fā)揮云的潛力并推動(dòng)組織邁向未來(lái)。

 

（編譯自cloudcomputing-news：cyber and cloud overcoming key security challenges amid multi cloud rise）