云計算已經成為一股主流力量，為現代組織帶來了規模經濟和突破性的技術進步，但這不僅僅是一種趨勢。云計算以驚人的速度發展，并且在許多組織中，云計算與支持關鍵日常運營的復雜技術環境交織在一起。

 

這種不斷擴展的云環境帶來了新的風險類型。業務和安全領導者在保護其現有IT環境方面已經面臨許多挑戰。他們現在還必須找到安全使用多種云服務，受支持的應用程序和底層技術基礎設施的方法。

 

安全使用云服務的需求
組織使用云服務在云環境中存儲機密數據已充分證明了云服務支持的業務流程激增。但是，在使用云服務時，組織仍不確定是否將其數據委托給云服務提供商（CSP）。CSP通常提供一定級別的經多次調查得到證實的安全性，但與云相關的安全事件確時有發生。

 

CSP不能單獨對其客戶的關鍵信息資產的安全性負責。云安全同樣依賴于客戶實施正確級別的信息安全控制的能力。但是，云環境復雜多樣，這妨礙了部署和維護核心安全控制的一致方法。組織必須意識到并履行其責任，共同保護云服務，以成功應對日益針對云環境的網絡威脅，這一點至關重要。

 

云服務的關鍵特性
云服務的易獲得性、相對較低的安裝成本、而且有機會取代不再滿足業務需求的傳統技術，吸引了眾多創業公司迅速采用云服務。但是，由于使用多個云服務固有的獨特和多樣的特性，管理安全性并不是一項簡單的任務。

 

云服務涵蓋了廣泛的產品，例如業務應用程序包括在線ERP系統和在線CRM系統，文檔存儲解決方案，數據庫和虛擬服務器，所有這些都可以通過公共網絡（較常見的是Internet）從選定的CSP中按需購買。

 

隨著組織轉向云計算以增強其業務運營，他們更青睞于購買云服務而不是擴展傳統的本地IT數據中心。通常被稱為云優先策略，這種方法已被無數組織采用。對于許多組織而言，這意味著它們幾乎整個IT基礎架構都將托管在云環境中。    

 

多云環境的興起
隨著組織獲得新的云服務，他們通常會從多個CSP中選擇這些服務，因此需要處理由于使用兩個或多個CSP服務而產生的多云環境。

 

組織偏愛多云環境，因為它允許他們跨不同的CSP（例如AWS，Microsoft Azure，Google Cloud，Salesforce）選擇喜歡的云服務。但是，通常不同的CSP采用不同的術語、不同的特定技術和方法來進行安全管理。因此，云客戶需要獲得廣泛的技能和知識，才能安全地使用來自多個CSP的不同云服務。

 

組織需要一系列不同的用戶從組織的網絡范圍內通過安全的網絡連接（例如，通過網關）來安全地訪問云服務。然而，企業也需要其云服務能夠被企業合作伙伴和遠程工作的用戶從外部訪問，所有這些用戶都通過組織指定的安全網絡連接進行連接。

 

克服云安全挑戰
雖然CSP為他們的云服務提供了一定程度的安全性，這要求組織理解并解決云環境的復雜和異構方面所帶來的許多安全挑戰。

 

我們的ISF成員已經確定了在云環境中安全運行的幾個障礙。主要挑戰包括：

• 識別并維護適當的安全控制
• 平衡CSP和云客戶之間的安全共享責任
• 滿足法規要求以保護云環境中的敏感數據

云計算使用的快速增長加劇了這些挑戰，在某些情況下，使得組織沒有足夠的準備來處理與使用云服務相關的安全問題。

 

平衡CSP和云客戶之間的安全共享責任
確保云服務的使用是CSP和云客戶之間的共同責任。CSP承擔的安全義務是保護多租戶云環境，包括后端服務和物理基礎結構，以及防止不同客戶之間的數據混合。

 

雖然CSP維護大部分底層云基礎設施，但云客戶負責保護其數據和用戶管理。客戶的責任是否擴展到為應用程序，操作系統和網絡執行安全配置，將取決于所選的云服務模型。

 

這種共享的安全責任可能會造成混亂，并導致過度依賴CSP來減輕威脅和預防安全事件。至關重要的是，云客戶不能完全依賴CSP來部署適當的安全措施，但是需要清楚地了解如何與每個CSP共享安全責任，以便識別和部署必要的安全控制來保護云環境。

 

滿足法規要求以保護云環境中的敏感數據
使用本地IT數據中心的組織將確切知道其關鍵數據和敏感數據位于何處，并且可以完全控制其數據的移動。這在實施安全控制時有很大幫助，而在云環境中，數據可以更自由地進出組織范圍。這可能會掩蓋關鍵和敏感數據的位置以及如何保護它們，從而可能妨礙組織根據合規性要求在其所有云服務中有效實施必需的安全控制的能力。

 

雖然云客戶有責任確保其數據在云環境中的安全性，但客戶對其數據的控制在本質上是有限的，因為數據由外部方(CSP)存儲在異地(通常是在不同的國家)。此外，處于彈性考慮，CSP經常利用地理位置不同的幾個數據中心，以確保組織的數據存儲在一個以上的服務器上。

 

這在跨國界管理數據、了解數據在特定時刻的位置、確定適用的法律管轄權和確保遵守相關法律法規方面增加了額外的復雜性——這還是云客戶的義務，而不僅僅是CSP的。

 

發揮更大潛力并承擔責任
現代組織必須快速運作，提供新產品和服務，以保持競爭優勢。因此，許多人選擇進一步向云計算邁進，因為云服務提供的彈性和可伸縮性提供了競爭所需的所需的靈活性。為了使組織有信心在確保重要技術基礎結構安全的同時可以遷移到云，需要一種可靠的策略。

 

云環境已成為網絡攻擊者的誘人目標，突顯了組織增強其現有安全措施的迫切需求。然而，由于云環境的多樣性和擴展性，始終如一地實施云安全性的基礎可能是一項復雜的任務。

 

這只是組織安全使用云服務需要克服的諸多挑戰之一。組織不能僅依靠CSP來保護其關鍵信息資產，而必須承擔自己的責任。這項職責要求將良好的治理，部署核心控制以及采用有效的安全產品和服務相結合。涵蓋網絡安全，訪問管理，數據保護，安全配置和安全監視的控件對于信息安全從業人員而言并不是新事物，但它們對于安全使用云服務至關重要。

 

展望未來，組織可以從各種趨勢和技術中進行選擇，這些趨勢和技術將使他們能夠安全地使用云服務-從采用新產品到嵌入改進的流程（例如專注于安全容器），在開發過程中更加強調安全性。

 

確保安全地使用服務將為業務領導者提供充分擁抱云所需的信心，從而更大程度地發揮云的潛力并推動組織邁向未來。

 

（編譯自cloudcomputing-news：cyber and cloud overcoming key security challenges amid multi cloud rise）