多云环境下的安全最佳实践

多云环境是由不止一家云服务提供商组成的云环境。涉及多家基础设施即服务(IaaS)提供商的环境就是一种简单的多云环境。

举个例子，云环境中的一些服务器和物理网络由AWS提供，但可以将之与微软Azure提供的服务器和物理网络集成。不同云服务提供商的产品和服务可能略有差异，正好各取其长，互为补充。

另一类多云环境，是将某云提供商的软件即服务(SaaS)或平台即服务(PaaS)与你自身的基础设施或另一家供应商的IaaS结合。

无论采取哪种形式，都涉及到将一家公司的技术和服务与其他公司的技术和服务混搭。这或许是满足公司企业特定云需求最有效的方式了。

但让所有这些各不相同的实体协同一致地工作需要一点精心细致的努力。而恰当地加强此类多样化云环境的安全，本身也存在诸多挑战！每个供应商都有各自的策略和网络安全措施。

但我们还是有可能部署出合规友好且相当安全的多云环境的。在部署的时候记得下面8条最佳实践就好。

多云环境安全最佳实践

1. 了解共享安全模型的应用方式

通常，云提供商要对自身基础设施的安全负责，还应为企业提供保护所存数据所需的某些功能，比如多因子身份验证方法、加密技术，以及身份与访问管理(IAM)。

公司要对自身在云提供商基础设施中的数据使用负责。无论是自家公司开发的软件，还是购自第三方的软件，都应打全补丁，强化安全。

雇员在数据使用上应遵守公司的信息安全策略。部署虚拟机和自有必备安全控制措施的大权掌握在你自己手里。这些都是企业的责任。

2. 仔细甄选云供应商

全面了解提供商的产品和服务的各项功能，并观察提供商自身的网络安全策略。要对企业现在正在部署和将来可能部署的云提供商有着深入理解。你的网络员工及安全员工，还有与云环境互动的所有其他利益相关者，都应了解企业所用云提供商服务的细节，并参与到云提供商选择决策过程中来。

3. 了解需要持续监视的账户和部署区域

想要维护好共享安全模型中属于本公司的那部分责任，就得了解那些需要持续监视的账户和部署区域。只有充分了解了这些账户和区域，才能合理部署IDS和IPS设备，分析这些设备的日志，或者将之托管给可信第三方，让他们向你通报网络情况。

4. 理解应用程序在多云环境中的运作机理

深入理解企业的应用程序在多云环境中到底是怎么运作的。确保云环境中的所有实体都能与公司的各种云 工具 协同工作。云应用的配置和部署都是独特的，有它们自己特定的安全需求。

5. 建立漏洞与暴露(VnE)管理器

得慎重考虑VnE管理器的部署位置，以便它们能有效地收集所需数据。不妨问问自己这几个问题：现场环境应不应该放一个？要放到某个云环境中吗？每个云环境是不是都得部署一个才可以收集到准确的数据？怎么做才最适合漏洞扫描需求？

6. 确保能够远程扫描你的公共云

因为它们并没有在你的管区之内。在企业的公共云环境中启用远程扫描设备探查器虚拟镜像。

7. 经常评估多云环境的安全情况

因为企业的基础设施和软件，还有网络威胁环境，都会随时间而改变，所以必须经常性评估多云环境的安全情况。安全测试员提供的任何缓解指令都应被实施。正如安全大师布鲁斯·施奈尔所言，安全是个过程，不是产品！

8. 云服务本身也应评估安全状况

Tripwire的云管理评估器( Cloud Management Assessor )如今既支持AWS也支持微软Azure。请确保所用技术的配置是安全的，并监视可能导致漏洞的修改。

相关阅读

混合云环境下安全七步骤

基于云的WAF VS. 本地部署WAF