Dawn Blizard

随着各行各业的企业在云计算服务方面的支出越来越多，公有云提供商之间的“市场份额争夺战”日益激烈。云计算提供商采用提高用户忠诚度的策略来争夺市场，但这种方式往往会让用户面临云安全挑战。

许多用户希望避免被某个云计算提供商锁定，所以通过采用多云的方式将其业务迁移到云平台。如今，越来越少的用户采用单个公有云提供商的云平台。数据显示，93%的用户采用多云，这其中大多数采用公有云、私有云以及内部部署设施的混合部署环境。

云安全的主要挑战

企业若在云安全领域面临挑战，意味着其安全团队需要针对应用混合云或多云，设计新的策略和措施。多云和混合云策略都可能为云安全带来威胁。云计算技术的部署使IT运营变得更加复杂，即使减少了管理物理设施的需求。采用多云策略也为企业的安全团队带来了负担，因为他们通常难以在多云环境中保持洞察力。所以，企业避免云计算提供商锁定的做法，可能导致多个云计算提供商的平台和软件即服务（SaaS）应用读取大量信息，由于这些信息存储在集成度较差的数据孤岛中，便使得创建高效的监视和事件响应工作流变得非常复杂。

一些云安全挑战，是缘于复杂数据导致的缺乏控制。当企业使用来自多个云计算提供商的架构和服务交付模型时，要确保全面满足数据保护标准所需的精细控制就变得更加困难。

在公有云的应用中，产品的快速迭代已经成为了一种常态，但这种变化会往往会产生一些严重的后果。公有云提供商不断地改变其产品，通常是为了让用户更难将工作负载转移到竞争对手的云平台上，但是这种方式却造成了用户难以及时了解工作负载的潜在问题。如果负责监视威胁、检测安全事件、检测风险、协调工作流的团队无法满足安全需求，那么不论其在任何云计算环境中，都无法真正确保安全。如果企业采取的相关措施，使工作团队在企业中的工作变得十分混乱，以至于导致错误或泄露云端的资源和数据，那么采取这种措施，便不能有效的节省成本。

确保云环境安全的最佳安全实践

注意配置错误

配置错误是大多数云计算数据泄露事件中普遍存在的问题。数据显示，2019的数据泄露事件中，超过五分之一的事件是由于配置错误造成的，而这些配置错误的现象，全部都是由人为错误导致。“不要犯错误”说起来容易，但做起却并非易事，数据泄露事件中涉及的大多数团队，并没有意识到何为其应该解决的具体问题。

此外，产生人为配置错误的原因，是因为数据泄露事件中团队，缺乏审核配置的工具。所以，企业必须为IT运营人员提供相应的技术支持和培训，确保安全团队对云计算平台有足够的了解。总而言之，使用云原生工具，对于监视常见的错误配置（包括存储桶风险）问题，会有所帮助。

默认加密

默认加密是指，在默认情况下，对静态数据进行加密。尽管加密本身并不能防止数据泄露，但它却能保证，在发现漏洞的情况下，数据不会被泄露。虽然，默认加密是一种额外的保护措施，但是它在多云供应商的安全防护中起着关键作用。企业可以在自动化工具的协助下，深入了解每个云存储桶是否启用了加密措施。

维护身份和访问管理控制

企业应该仔细维护身份和访问管理（IAM）解决方案，以解决常见的云安全问题。在基于云计算技术的混合云环境中，凭据的泄露对企业来说是重大的威胁。众所周知，针对凭据的攻击难以被快速的检测。

在混合云和多云环境内部，部署设施托管的身份和访问管理解决方案，往往达不到理想的效果。然而，针对混合云环境（如使用轻量级目录访问协议（LDAP）的混合环境），部署专用的身份和访问管理解决方案，不失为一种好的方法。

监控环境

有效的监控对于应对混合部署和云安全挑战至关重要。企业的安全运营流程和工作流程需要与云计算技术的发展保持同步。所以，在解决云安全问题时，企业需要为员工提供支持并帮助其提高技能。企业需要采用自动化解决方案来帮助分析师收集、监视由云平台创建的不断增长的日志数据，避免因误报而陷于困境。SOAR平台（基于开源技术和标准的平台）可以横跨多个云计算提供商的工具和平台使用，以此简化事件的分类和响应。

此外，人工智能和机器学习辅助工具还可以协助进行数据过滤以减少警报。

权衡成本和收益

企业在针对多云提供商设计方案时，需要仔细权衡。每件事都有利弊，多云亦是如此，企業从公有云提供商中选择云计算服务和云平台，可以节省潜在的成本，同时开发团队也有机会选择更适合优化应用程序性能的平台。

此外，当企业面临需要在云平台之间移动数据或管理整个生态系统的安全性时，其还需建立一个技能差异较大的工作流程。

企业如果采用广泛、统一的混合云和多云提供商的云安全策略，可以帮助其建立一种具备安全性、易构建、易管理维护的云计算环境。