與任何重大的IT變化一樣，采用混合云模式需要企業(yè)重新審視其安全實(shí)踐。如果實(shí)施的好，混合云應(yīng)該有助于企業(yè)提高安全性。多個云計(jì)算環(huán)境帶來的靈活性(每種環(huán)境都有其自身的優(yōu)勢和附帶成本)可以使IT領(lǐng)導(dǎo)人能夠?qū)⒛撤N類型的敏感數(shù)據(jù)或關(guān)鍵數(shù)據(jù)保留在內(nèi)部部署的數(shù)據(jù)中心中，并同時(shí)擁有私有云和公共云的巨大潛力。

但是，安全性必須成為企業(yè)整體混合云戰(zhàn)略中可見的一部分，否則可能會在沒有采取適當(dāng)措施減輕風(fēng)險(xiǎn)的情況下帶來新風(fēng)險(xiǎn)。

“無可否認(rèn)，混合云基礎(chǔ)設(shè)施是新業(yè)務(wù)面臨現(xiàn)實(shí)的一部分。”Unbound公司研發(fā)副總裁兼聯(lián)合創(chuàng)始人Guy Peer表示，“因此，企業(yè)的IT領(lǐng)導(dǎo)者必須將混合云安全作為優(yōu)先事項(xiàng)，如果他們還沒有實(shí)施的話。”

以下是企業(yè)IT領(lǐng)導(dǎo)者應(yīng)該了解的關(guān)于混合云安全的核心問題，并且能夠向組織中的其他人進(jìn)行解釋，將其視為“混合云安全101”。并介紹管理這些問題的策略問題，以及如何加強(qiáng)企業(yè)的混合云安全態(tài)勢。

企業(yè)面臨的四個關(guān)鍵的混合云安全問題：

1.周邊安全措施不足

簡而言之，當(dāng)企業(yè)采用可能包括私有云和公共云環(huán)境以及本地部署或傳統(tǒng)數(shù)據(jù)中心基礎(chǔ)設(shè)施的混合模型時(shí)，采用保護(hù)企業(yè)網(wǎng)絡(luò)邊界的傳統(tǒng)工具和策略已不再適用。

“IT領(lǐng)導(dǎo)者需要明白，他們仔細(xì)定義和維護(hù)的網(wǎng)絡(luò)范圍已經(jīng)不夠用了。”Cyxtera公司的副總裁兼首席信息安全官副總裁David Emerson說，“混合云正在成為企業(yè)基礎(chǔ)設(shè)施的新常態(tài)，這些企業(yè)必須適應(yīng)，而不是抗拒變革，并堅(jiān)持采用傳統(tǒng)的安全措施。”

隨著混合云架構(gòu)變得越來越普遍，IT專業(yè)人員將需要重新啟動他們的面向外圍安全的方法，因?yàn)槠渫鈬呀?jīng)大大擴(kuò)展和改變。

Unbound公司的Peer說：“大多數(shù)企業(yè)都會在不同的公共云或私有云上使用內(nèi)部部署與多種云計(jì)算工作負(fù)載的組合。有了這種類型的環(huán)境，可能保證其周圍邊界安全。”

2.企業(yè)的威脅面現(xiàn)在分布廣泛

傳統(tǒng)的周邊安全性在混合云基礎(chǔ)設(shè)施中無法滿足的一個根本原因是：企業(yè)現(xiàn)在在不同的環(huán)境中運(yùn)行工作負(fù)載，跨越傳統(tǒng)的本地基礎(chǔ)設(shè)施、私有云和公共云。鑒于靈活性是混合云的強(qiáng)大吸引力之一，企業(yè)可能還會根據(jù)不斷變化的業(yè)務(wù)和技術(shù)需求在這些不同環(huán)境之間移動數(shù)據(jù)。

Cavirin公司工程副總裁Brajesh Goyal說：“攻擊面現(xiàn)在分布廣泛，無限，并且不斷變化。”

這意味著需要采用新的方法和最佳實(shí)踐來確?？绮煌h(huán)境的數(shù)據(jù)安全性。即使企業(yè)采用傳統(tǒng)流程(如安全修補(bǔ)程序和更新)的處理方式也需要重新審視。正如Red Hat公司首席架構(gòu)師Matt Smith最近指出的那樣，對于希望在混合時(shí)代明智地處理更新的企業(yè)來說，自動化起著關(guān)鍵作用。

混合架構(gòu)中的每種類型的環(huán)境(甚至每個潛在的提供者)都有不同的安全考慮和風(fēng)險(xiǎn)。沒有統(tǒng)一的混合云安全方法，因?yàn)槠髽I(yè)不再使用統(tǒng)一的基礎(chǔ)設(shè)施。

“IT領(lǐng)導(dǎo)者應(yīng)該知道，他們有不同的安全需求，取決于工作負(fù)載是什么，以及它所處的環(huán)境。”Flexential公司首席產(chǎn)品官M(fèi)ichael Fuhrman說，“而采用一種‘一刀切’的策略對于妥善保護(hù)企業(yè)的工作量不會有效。”

這本質(zhì)上是一種成本效益的折衷，將再次伴隨著任何重大的IT變化。

以下是瞻博網(wǎng)絡(luò)公司全球安全戰(zhàn)略總監(jiān)Laurence Pitt列舉的一個簡單例子。“混合云所提供的規(guī)模和靈活性意味著用戶可以訪問多個環(huán)境，但這也會為部門帶來在IaaS上形成‘影子IT’服務(wù)器的風(fēng)險(xiǎn)，而這些服務(wù)器對于企業(yè)IT來說是不可見或無法管理的安全策略。”他解釋說。

將企業(yè)整體安全策略與混合云策略保持一致時(shí)，請將這些考慮放在首位。

3.思考新的工具、流程和政策

簡而言之，企業(yè)采用混合云模式需要新的安全工具和實(shí)踐，不應(yīng)該拋棄其整個安全策略，但需要重新修改它。

Goyal說：“組織需要接受新的工具、策略和思維方式，以實(shí)現(xiàn)內(nèi)部部署和云端的所有基礎(chǔ)設(shè)施投資的健康安全態(tài)勢。”

例如，在混合部署時(shí)代，各種基礎(chǔ)設(shè)施的統(tǒng)一管理和資源共享成為關(guān)鍵，Red Hat公司技術(shù)傳教士Gordon Haff寫道，“即使某個組織尚未使用公共云資源，它們可能已經(jīng)在運(yùn)行多種基礎(chǔ)設(shè)施平臺(如虛擬化)的意義上是混合的，混合云管理可以幫助將這些統(tǒng)一在一個管理界面下。”他指出，“統(tǒng)一管理還可以為IT部門提供分布在不同地理位置的虛擬化資源的統(tǒng)一視圖，以便進(jìn)行分配、容量規(guī)劃和計(jì)費(fèi)。”

也許企業(yè)已經(jīng)在調(diào)整其安全流程以適應(yīng)DevOps的工作方式，而在開發(fā)過程的早期就開始關(guān)注安全：它通常被稱為DevSecOps。

而越來越多的混合云采用，以及容器和微服務(wù)等相關(guān)趨勢，是人們對DevSecOps興趣日益增長的關(guān)鍵原因。

這是DevOps文化的邏輯演進(jìn)，因?yàn)镮T領(lǐng)導(dǎo)者意識到在持續(xù)交付和持續(xù)集成以及日益分布的環(huán)境和體系結(jié)構(gòu)的時(shí)代，需要新的安全方法。

4.謹(jǐn)防提供“轉(zhuǎn)機(jī)”的思維方式

對于IT資源有限或沒有太多資源的小型企業(yè)來說，盲目信任云計(jì)算提供商可能是一個值得關(guān)注的問題。

另一方面，企業(yè)的首席信息官和其他IT領(lǐng)導(dǎo)者必須避免混淆分布式或共享風(fēng)險(xiǎn)和完全卸載風(fēng)險(xiǎn)的誘惑。

“采用混合云的最大風(fēng)險(xiǎn)是企業(yè)將這視為一個安全轉(zhuǎn)機(jī)，相信云計(jì)算提供商將具有安全標(biāo)準(zhǔn)以確保持續(xù)的保護(hù)和合規(guī)性。”瞻博網(wǎng)絡(luò)的Pitt說。

企業(yè)的云計(jì)算提供商提供的服務(wù)減緩一些風(fēng)險(xiǎn)，并不意味著企業(yè)實(shí)際上已經(jīng)采取任何措施來解決這一風(fēng)險(xiǎn)。“這意味著企業(yè)需要努力讓自己的供應(yīng)商對他們的控制負(fù)責(zé)。”SAS公司的首席信息安全官Brian Wilson說，“企業(yè)如何知道供應(yīng)商將永遠(yuǎn)無法訪問未加密的數(shù)據(jù)?他們是否可以確認(rèn)在沒有額外支付或要求企業(yè)通過云訪問安全代理(CASB)的情況下是可行的?企業(yè)要確保合同中詳細(xì)說明了這些細(xì)節(jié)，并定期審查這些合同和供應(yīng)商政策。”

這可能是混合云安全的一個比較容易忽視的基礎(chǔ)，因此要注意它，并知道如何向組織中的其他人解釋，這會有很多問題，直至應(yīng)用程序級別。

“必須保持對數(shù)據(jù)和應(yīng)用程序在不同云計(jì)算環(huán)境中受到保護(hù)的方式進(jìn)行監(jiān)督。”Pitt說，“即使在混合云和多云環(huán)境中，也仍然會面臨一些風(fēng)險(xiǎn)。”