5个多云安全原则

AWS早就统治了云平台市场。但是今天，越来越多的公司正在扩展业务并使用其他提供商。通常这不是相互替换的问题，而是不同的业务需求（如管理风险和成本）适合不同的云供应商。使用多个供应商中心的其他因素还在于供应商竞争性地为他们的产品定价并不断添加新功能。另外，许多运行Windows的组织都提供免费的Azure使用额度。那么为什么不利用并降低整体云成本呢？

运行多云环境没有任何问题 - 事实上，这么做可能是一个精心策划的策略的一部分 - 但是当你这样做的时候，你要确保你正在采取适当的安全防范措施。在这篇文章中，我们将介绍当您转移到多云环境时应该努力的五个原则。但首先，让我们来看看主要的参与者。

公有云市场：三大主角

三大参与者主宰着公有云平台的世界：亚马逊网络服务（AWS），微软Azure和谷歌云平台。 AWS在市场中的时间最长，在AWS上运行应用程序的市场中，有57％的市场份额占据了最大的市场份额。微软拥有34％的市场份额，而谷歌则有15％的市场在其云平台上运行应用程序。

“公有云战争：AWS与Azure vs Google”这篇文章提供了一个关于三者如何比较这些主要因素的很好的概要：

• 计算能力
• 存储和数据库
• 网络
• 价格

如果您正在尝试确定在这些服务中运行的环境有多少和哪些方面，本文将给您一个明确的分类。

现在，我们来谈谈如何保护您的多云环境。

如何在多云环境中运行安全

1.避免ShadowOps

如果整个组织都同意与不同的供应商一起运行多个云环境，这是非常好的。如果这样做的好处大于成本，那么请尽一切可能利用竞争优势降低成本并获得所需的功能。也就是说，很多组织都结束了几个不连接的AWS账户，或者分散在AWS，Azure和Google上的大量不同的实例。当DevOps团队成员决定为他们的特定用例做最好的事情时，可能会发生这种情况，而不考虑整个组织的最佳状况。

正如我们在ShadowOps解释的不仅仅是糟糕的DevOps，这样做可能会使您的组织安全性显着下降。有趣的是，到2020年，企业经历的三分之一的成功攻击将是他们的影子IT资源（2017年Gartner安全与风险管理峰会）。因此，无论组织决定坚持一个云提供商还是跨越多个分销基础设施，确保每个人都购买并了解为什么这是组织的最佳途径。这将减少ShadowOps的数量，从而改善您的整体安全状况。

2.优先考虑可见性

无论您选择哪种云平台，都需要确保您在所有实例中都具有完整的可视性。这意味着，当您选择云安全解决方案时，您应该优先选择一个提供深度可视性的解决方案，理想情况下是在工作负载层。

基于签名的监控在云中是不够的。您应该专注于通过基于行为的监控来提高可视性。换句话说，你需要一个解决方案，能够像拿着放大镜在所有实例中检测行为，并快速检测异常行为。

您的安全解决方案应该能够：

• 识别不受信任的系统修改
• 通过对用户和流程的行为监控来捕获威胁
• 立即检测异常用户，进程和文件活动

如果您在云实例中具有完整的可见性，那么无论您使用的是AWS，Azure，Google还是三者的组合，都无关紧要。你仍然可以运行安全。

3.遵循最佳实践

每个平台都有自己的一套最佳实践。因此，如果您要跨多个平台运行实例，请务必向您介绍各自的最佳实践。 AWS提供了他们平台上最佳实践的指南（您也可以查看我们的前10名AWS最佳实践）。 Azure列出（并更新）了一系列涵盖各种云安全主题的文章，Google云端平台共享了一系列最佳实践。当然，这里有很多的重叠，并且适用一些通用规则，例如：

• 随时了解您的环境中发生了什么。
• 设置警报（按严重程度划分优先级），通知您有关策略外行为。
• 达到并超过合规要求。
• 保持良好的健康：保持一切更新和修补。

云供应商自己共享的最佳实践是一个很好的开始，因为他们比任何人都更了解自己的技术，他们有责任教育和支持客户。除此之外，我们已经撰写了关于云安全最佳实践的广泛文章，所以请查看以前的内容以获取更多提示。

4.关注自动化

人类很容易出错。到2020年，95％的云安全失败将成为客户的错（2017年Gartner安全与风险管理峰会）。在安全方面，人为错误会带来各种风险。依靠机器来自动执行例行的可重复的任务是确保您不会损害安全状态的好方法，尤其是在跨多个云供应商运行多个实例时。

我们建议组织利用自动化来设计安全。要做到这一点，你应该把重点放在：

• 更新云的治理规则
• 了解分担责任模式（我们将在下面介绍）
• 采取持续的风险处理方法

在云中运行可以让您的DevOps团队走得更快。它能够实现持续的整合和持续的开发周期，使您在竞争中获得真正的发展。但是它也可能带来风险，所以你要确保你利用自动化来确保所有的安全最佳实践被有效地管理，并且以最小的错误余量。

5.坚持共同责任模式

最后，确保你了解共同责任模式。我们之前已经写过关于它的含义和现在模型的状态。在过去的5年中，79％的企业经历了实际上已经转化为重大运营意外的风险（2017年Gartner安全与风险管理峰会）。底线是，当您利用公有云 - 无论是AWS，Google云，Azure还是其组合 - 您都可以确保云中的一切都得到保护。您可以依靠AWS，Google和Microsoft来保护云本身，但您必须确保您的应用程序，数据和其他系统在云中得到完全保护。如果某人没有许可登录到环境，并且做了一些让您的组织处于危险之中的事情，那就是您的责任。所以要确保你明白你的责任究竟在哪里开始和结束，并坚持下去。

最后的话...

我们认为很高兴能够看到更多的企业在当今的云平台上充分利用竞争激烈的市场。虽然AWS取得了明显的领先优势，但值得探讨一下您的选择，以了解哪些公有云适合您的组织实现其目标。

只要您将安全最佳实践置于最前沿，并采取措施确保您的云环境中的可见性，您就可以安全地实现公有云的优势，而不会受到任何潜在缺陷的困扰。