云計算已經成為一股主流力量，為現代組織帶來了規模經濟和突破性的技術進步，但這不僅僅是一種趨勢。云計算以驚人的速度發展，并且在許多組織中，云計算與支持關鍵日常運營的復雜技術環境交織在一起。

 

這種(zhong)不斷擴展的云(yun)(yun)環境帶來了新的風險類型。業務(wu)和安全領導者在保護其現有IT環境方面(mian)已經面(mian)臨許多挑戰。他們(men)現在還必(bi)須找到安全使用多種(zhong)云(yun)(yun)服務(wu)，受支持(chi)的應用程(cheng)序和底層(ceng)技術基礎設施的方法。

 

安全使用云服務(wu)的需求
組織使用云服務在云環境中存儲機密數據已充分證明了云服務支持的業務流程激增。但是，在使用云服務時，組織仍不確定是否將其數據委托給云服務提供商（CSP）。CSP通常提供一定級別的經多次調查得到證實的安全性，但與云相關的安全事件確時有發生。

 

CSP不能單獨對(dui)(dui)其客(ke)(ke)戶的(de)關(guan)鍵(jian)信息資產(chan)的(de)安(an)全(quan)(quan)性負責(ze)。云(yun)(yun)安(an)全(quan)(quan)同(tong)樣依賴(lai)于客(ke)(ke)戶實施正確級別(bie)的(de)信息安(an)全(quan)(quan)控(kong)制的(de)能力。但是，云(yun)(yun)環境(jing)復雜多樣，這妨礙了(le)部署和維護核(he)心安(an)全(quan)(quan)控(kong)制的(de)一(yi)致(zhi)方(fang)法。組(zu)織(zhi)必須(xu)意識到并履行其責(ze)任，共同(tong)保護云(yun)(yun)服(fu)務，以成功(gong)應(ying)對(dui)(dui)日益(yi)針(zhen)對(dui)(dui)云(yun)(yun)環境(jing)的(de)網絡威脅，這一(yi)點至(zhi)關(guan)重要。

 

云(yun)服務的關鍵特性(xing)
云(yun)服(fu)(fu)務(wu)的(de)易(yi)獲(huo)得性(xing)、相對較低的(de)安裝成(cheng)本、而且有機會取(qu)代不(bu)(bu)再滿(man)足業務(wu)需求的(de)傳統技術(shu)，吸引了眾(zhong)多(duo)創業公司迅速(su)采用云(yun)服(fu)(fu)務(wu)。但是，由于使用多(duo)個云(yun)服(fu)(fu)務(wu)固有的(de)獨特和多(duo)樣的(de)特性(xing)，管理安全性(xing)并(bing)不(bu)(bu)是一項簡(jian)單(dan)的(de)任務(wu)。

 

云服務涵蓋了廣泛的產品，例如業務應用程序包括在線ERP系統和在線CRM系統，文檔存儲解決方案，數據庫和虛擬服務器，所有這些都可以通過公共網絡（較常見的是Internet）從選定的CSP中按需購買。

 

隨著組(zu)織轉向云(yun)計算(suan)以增強其業務運(yun)營，他們更青睞于購買云(yun)服務而(er)不是擴展傳統的本地IT數(shu)據中心。通常被(bei)(bei)稱為云(yun)優先策略，這種(zhong)方法已被(bei)(bei)無數(shu)組(zu)織采(cai)用。對于許多組(zu)織而(er)言，這意味著它(ta)們幾(ji)乎整個IT基礎(chu)架構都將托(tuo)管在(zai)云(yun)環境中。    

 

多云環境的興起
隨著組織獲得(de)新的云服務，他們通常會從多個CSP中(zhong)選擇這些服務，因此(ci)需(xu)要處理由(you)于使用兩(liang)個或多個CSP服務而產(chan)生的多云環境。

 

組織(zhi)偏愛多云環(huan)境，因為它(ta)允許他們跨(kua)不(bu)(bu)(bu)同(tong)的(de)CSP（例如AWS，Microsoft Azure，Google Cloud，Salesforce）選擇喜歡(huan)的(de)云服務(wu)。但是，通(tong)常不(bu)(bu)(bu)同(tong)的(de)CSP采用(yong)不(bu)(bu)(bu)同(tong)的(de)術語、不(bu)(bu)(bu)同(tong)的(de)特定技術和(he)方法來進行安全管理。因此，云客(ke)戶(hu)需要獲得(de)廣泛的(de)技能(neng)和(he)知識，才能(neng)安全地使用(yong)來自(zi)多個CSP的(de)不(bu)(bu)(bu)同(tong)云服務(wu)。

 

組(zu)織需(xu)要一系列不(bu)同(tong)的(de)用戶從(cong)組(zu)織的(de)網(wang)(wang)絡(luo)(luo)范圍內通過安全(quan)(quan)的(de)網(wang)(wang)絡(luo)(luo)連(lian)接（例(li)如(ru)，通過網(wang)(wang)關）來安全(quan)(quan)地訪問(wen)云服(fu)務。然而，企(qi)業也需(xu)要其云服(fu)務能夠被企(qi)業合作(zuo)(zuo)伙伴和遠程工作(zuo)(zuo)的(de)用戶從(cong)外(wai)部訪問(wen)，所有(you)這(zhe)些用戶都(dou)通過組(zu)織指定的(de)安全(quan)(quan)網(wang)(wang)絡(luo)(luo)連(lian)接進(jin)行連(lian)接。

 

克服云(yun)安全挑戰
雖然CSP為(wei)他們的云(yun)(yun)服務提(ti)供了一定(ding)程度(du)的安(an)全性(xing)，這(zhe)要求組織(zhi)理解(jie)并解(jie)決云(yun)(yun)環境的復(fu)雜(za)和異構(gou)方(fang)面所帶來(lai)的許多安(an)全挑(tiao)戰。

 

我(wo)們的(de)(de)ISF成員已經確定了在(zai)云環境中安全運行的(de)(de)幾個障(zhang)礙。主(zhu)要挑戰(zhan)包括：

• 識別并維護適當的安全控制
• 平衡CSP和云客戶之間的安全共享責任
• 滿足法規要求以保護云環境中的敏感數據

云(yun)計算使(shi)用的快速增長加劇(ju)了這些挑(tiao)戰，在某些情(qing)況下，使(shi)得組(zu)織沒有足夠的準備(bei)來(lai)處理(li)與(yu)使(shi)用云(yun)服務相關(guan)的安全(quan)問題。

 

平衡CSP和云客戶之(zhi)間的(de)安全(quan)共享(xiang)責任
確保云(yun)服務的使用(yong)是CSP和云(yun)客(ke)戶(hu)之間的共同(tong)責任。CSP承擔(dan)的安全義務是保護多租戶(hu)云(yun)環境，包括后(hou)端服務和物理(li)基礎結構，以及(ji)防(fang)止(zhi)不同(tong)客(ke)戶(hu)之間的數據混合。

 

雖然CSP維護大部分底層(ceng)云(yun)基(ji)礎設施(shi)，但云(yun)客(ke)戶負責保護其數據和(he)用戶管理。客(ke)戶的責任是否擴展到(dao)為(wei)應用程序(xu)，操作系統和(he)網絡執行安全配置，將取決于所選的云(yun)服務(wu)模型。

 

這種共(gong)享的(de)安(an)(an)全(quan)責(ze)任可能(neng)會造成混(hun)亂，并(bing)導致過(guo)度依賴CSP來減輕威脅和預(yu)防安(an)(an)全(quan)事件。至關重要(yao)的(de)是，云客(ke)戶不能(neng)完全(quan)依賴CSP來部署適當的(de)安(an)(an)全(quan)措施，但是需要(yao)清(qing)楚地了(le)解如何與每個CSP共(gong)享安(an)(an)全(quan)責(ze)任，以便識別和部署必要(yao)的(de)安(an)(an)全(quan)控制來保護云環(huan)境。

 

滿(man)足法(fa)規要(yao)求以保護云環境中的敏感(gan)數據
使用本地IT數(shu)(shu)據中心的(de)(de)組(zu)織將確切知道其(qi)關(guan)(guan)鍵數(shu)(shu)據和敏感數(shu)(shu)據位于(yu)何(he)處(chu)，并且(qie)可(ke)(ke)以(yi)完(wan)全控制(zhi)其(qi)數(shu)(shu)據的(de)(de)移動。這(zhe)在實(shi)施安全控制(zhi)時有(you)很大(da)幫(bang)助，而在云(yun)環(huan)境中，數(shu)(shu)據可(ke)(ke)以(yi)更自由地進出組(zu)織范圍。這(zhe)可(ke)(ke)能(neng)會(hui)掩(yan)蓋關(guan)(guan)鍵和敏感數(shu)(shu)據的(de)(de)位置以(yi)及如何(he)保護它們，從(cong)而可(ke)(ke)能(neng)妨礙(ai)組(zu)織根據合規性要(yao)求在其(qi)所有(you)云(yun)服(fu)務中有(you)效實(shi)施必需的(de)(de)安全控制(zhi)的(de)(de)能(neng)力。

 

雖然云客戶(hu)有(you)責任確保其(qi)數(shu)(shu)(shu)據(ju)在(zai)(zai)(zai)云環境中的安全性，但(dan)客戶(hu)對其(qi)數(shu)(shu)(shu)據(ju)的控制在(zai)(zai)(zai)本(ben)質上是有(you)限(xian)的，因為數(shu)(shu)(shu)據(ju)由外部(bu)方(CSP)存儲在(zai)(zai)(zai)異地(通(tong)常(chang)是在(zai)(zai)(zai)不同(tong)的國家)。此外，處于(yu)彈性考慮，CSP經常(chang)利(li)用地理(li)位置不同(tong)的幾個(ge)數(shu)(shu)(shu)據(ju)中心，以(yi)確保組織的數(shu)(shu)(shu)據(ju)存儲在(zai)(zai)(zai)一個(ge)以(yi)上的服務器上。

 

這在跨國界(jie)管(guan)理數(shu)據、了解(jie)數(shu)據在特(te)定時刻的位置、確(que)定適用的法律管(guan)轄權和確(que)保(bao)遵守相關法律法規方面(mian)增加了額外的復(fu)雜性——這還是(shi)云(yun)客戶的義務，而不僅僅是(shi)CSP的。

 

發揮(hui)更(geng)大潛力并承擔(dan)責(ze)任
現代組織必須快(kuai)速運作，提供(gong)新產品和服務(wu)，以保持競爭優勢(shi)。因(yin)此(ci)，許多人選擇進一步向云計算(suan)邁進，因(yin)為(wei)云服務(wu)提供(gong)的彈性(xing)(xing)和可(ke)伸(shen)縮性(xing)(xing)提供(gong)了競爭所需的所需的靈活(huo)性(xing)(xing)。為(wei)了使組織有信心在確(que)保重(zhong)要(yao)技(ji)術基礎結構(gou)安(an)全的同(tong)時(shi)可(ke)以遷(qian)移到云，需要(yao)一種可(ke)靠的策略。

 

云(yun)環境(jing)已成為網(wang)絡攻擊者的誘人目標(biao)，突顯了組織增(zeng)強其現有安全措施的迫切需求。然而，由于云(yun)環境(jing)的多樣(yang)性(xing)和擴展性(xing)，始終如一(yi)地(di)實(shi)施云(yun)安全性(xing)的基礎(chu)可能(neng)是一(yi)項(xiang)復雜的任務。

 

這只是組織(zhi)安(an)全使(shi)(shi)用(yong)(yong)云服(fu)務需要克服(fu)的(de)(de)諸多(duo)挑戰(zhan)之一。組織(zhi)不(bu)能僅依靠(kao)CSP來(lai)保護(hu)其關鍵(jian)信(xin)息資產(chan)(chan)，而必須承擔自己(ji)的(de)(de)責任(ren)。這項職責要求將良好的(de)(de)治理，部署核(he)心(xin)控制(zhi)以及(ji)采(cai)用(yong)(yong)有效的(de)(de)安(an)全產(chan)(chan)品和(he)服(fu)務相結合。涵蓋網絡安(an)全，訪問管理，數據(ju)保護(hu)，安(an)全配置和(he)安(an)全監視的(de)(de)控件對于信(xin)息安(an)全從(cong)業人(ren)員而言并(bing)不(bu)是新事(shi)物，但它們對于安(an)全使(shi)(shi)用(yong)(yong)云服(fu)務至關重(zhong)要。

 

展望未來，組織可以從各種趨(qu)勢和(he)技術中進行選擇，這些趨(qu)勢和(he)技術將使他們能夠安(an)全地使用(yong)云服(fu)務(wu)-從采用(yong)新產品到嵌入改進的流程（例如專(zhuan)注于安(an)全容器），在(zai)開發(fa)過程中更加強調安(an)全性。

 

確(que)保(bao)安(an)全地(di)使用服務將為業務領導者提供充分(fen)擁抱(bao)云所需的信心，從而更大程度地(di)發揮(hui)云的潛力(li)并推動組(zu)織邁向未來。

 

（編譯自(zi)cloudcomputing-news：cyber and cloud overcoming key security challenges amid multi cloud rise）