企業在采用多個雲計算服務提供商的雲服務時(shí),考慮雲平台和每個雲服務的具體情況以保持安全性至關重要。
有些事(shì)情并不是單獨出現的,企業采用雲計算的方式也是如此,并且随著(zhe)時(shí)間的推移將(jiāng)會(huì)增長(cháng)。除非有特殊情況,企業都(dōu)將(jiāng)采用多個雲計算服務提供商的雲計算服務,這(zhè)是一個确鑿無疑的事(shì)實。實際上,企業通常采用同一供應商的多個雲計算模型或服務,或者使用不同雲計算供應商的雲計算服務,每個雲計算供應商都(dōu)有不同的配置選項和設置。
采用多雲主要有幾個原因。在某些組織中,其領導者可能(néng)明确決定使用多個雲計算提供商的雲計算服務作爲更大的災難恢複或業務連續性策略的一部分,建立冗餘以幫助确保在服務失敗時(shí)無法將(jiāng)其删除。
它也可能(néng)是無意中發(fā)生的。考慮企業并購的情況:如果兩(liǎng)家公司合并,一家公司使用雲計算提供商A的雲計算服務,另一家公司使用雲計算提供商B的雲計算服務,那麼(me)會(huì)發(fā)生什麼(me)?由于按其規模將(jiāng)業務遷移到其他環境會(huì)耗費大量時(shí)間和成(chéng)本,合并後(hòu)的公司很可能(néng)會(huì)發(fā)現自己在一段不确定的時(shí)間内同時(shí)維護這(zhè)兩(liǎng)個雲計算服務。這(zhè)也可能(néng)發(fā)生在企業并購之外,例如同一公司的兩(liǎng)個業務部門做出不同的購買決策。另外,在這(zhè)種(zhǒng)情況下,不要將(jiāng)采用的影子IT作爲驅動因素。
無論它是如何發(fā)生的,現在很多企業都(dōu)在處理多雲面(miàn)臨的問題,無論是采用同一個雲計算供應商的多個雲服務,例如使用一家雲計算供應商的IaaS和PaaS服務的公司采用不同雲計算供應商的類似服務。從安全專業人員的角度來看,這(zhè)種(zhǒng)情況都(dōu)是具有挑戰性的。請記住,每個雲計算提供商和每個雲計算服務都(dōu)將(jiāng)有不同的安全模型、不同的安全工具、不同的配置參數、不同的儀表盤和不同的聯系點。而將(jiāng)所有這(zhè)些細節放在一起(qǐ),并創建一個連貫的多雲安全策略是必須的措施。
确定雲計算範圍
實際上,企業安全團隊如何才能(néng)很好(hǎo)地解決這(zhè)個問題,并确保多雲安全?需要考慮一些戰略選擇,但作爲起(qǐ)點,企業首先要做的是掌握其範圍:
采用多少個雲計算供應商的雲計算服務? 它們的用途是什麼(me),由誰使用? 具體來說(shuō),使用的是什麼(me)?
這(zhè)些問題的答案不僅從盡職調查的角度來看很重要,而且還(hái)將(jiāng)了解與安全相關的雲計算區域以及它的用途。需要記住,這(zhè)些信息可能(néng)會(huì)随著(zhe)時(shí)間的推移而改變;僅僅因爲某個給定的服務在這(zhè)一秒沒(méi)有被(bèi)正确使用并不意味著(zhe)有人不會(huì)在10分鍾後(hòu)開(kāi)始使用它。
與其對(duì)所使用的服務進(jìn)行清點,不如建立一個流程來定期更新列表。這(zhè)可以通過(guò)一些機會(huì)來完成(chéng)。例如,在進(jìn)行連續性計劃的業務影響分析時(shí),需要留意雲計算服務的使用情況。如何完成(chéng)申請評估?查找并記錄雲計算服務使用情況。如何進(jìn)行内部審計?記錄任何雲計算服務使用情況。如果有更多的雲計算服務可以在電子表格中進(jìn)行跟蹤(在大型組織中很可能(néng)是這(zhè)種(zhǒng)情況,或者也跟蹤SaaS),則可以使用清單工具。在記錄每個問題時(shí),記錄一個聯系點,然後(hòu)可以聯系到該聯系點以提出其他問題。
整合多雲安全策略
一旦了解了範圍信息,下一步是處理與每個服務相關的細節。
此時(shí),需要對(duì)已确定的服務的特定安全考慮因素和模型進(jìn)行一些自我教育。具體情況因服務而異,但在技術層面(miàn)和程序層面(miàn)了解保護服務所涉及的内容和相關内容非常重要。這(zhè)可能(néng)包括可能(néng)有助于保護它們的任何其他工具,例如AWS的GuardDuty、Azure的Sentinel、SaaS系統的日志記錄等等。要完全理解這(zhè)一點,可能(néng)需要從企業的用戶那裡(lǐ)收集有關服務的其他詳細信息。這(zhè)就(jiù)是在首先識别服務時(shí)記錄聯系點非常重要的原因。
理解與安全密切相關的操作職責的重疊也很重要,即需要提供的内容與通過(guò)雲計算提供商提供的工具或流程提供的内容相比。有時(shí)這(zhè)將(jiāng)被(bèi)明确記錄。例如,Microsoft Azure和AWS文檔共享責任以及提供者或客戶是否負責安全操作和管理的各個方面(miàn)。對(duì)于規模較小的提供商或SaaS産品來說(shuō),這(zhè)些細節將(jiāng)不那麼(me)明确,但仍需要在規劃階段進(jìn)行說(shuō)明。
此外,了解可用于協助的各種(zhǒng)工具至關重要。例如,IaaS供應商可能(néng)擁有可用于監控的複雜工具,而SaaS供應商可能(néng)隻提供更少的應用程序、用戶活動或API日志。需要記住,由于采用多個雲計算供應商的雲計算服務,因此這(zhè)些供應商之間的工具集會(huì)有所不同。供應商A可以提供對(duì)不同工具的訪問,并通過(guò)不同的接口訪問,而供應商B不能(néng)。采用更多的雲計算供應商的服務使這(zhè)項工作更加複雜,因此將(jiāng)多雲安全策略放在一起(qǐ)最終意味著(zhe)需要熟悉這(zhè)些選項,將(jiāng)安全目标映射到該區域,确定并采用雲計算供應商提供的工具和資源,并确定可能(néng)尚未涵蓋的領域,以便在後(hòu)續規劃中系統地解決這(zhè)些問題。