浅析混合云安全策略

如果说2022年是企业开始部署混合云策略的年份，那么正如专家们所预测的那样，2022年也将成为混合云安全开始受到重视的一年。业内分析师、行业观察人士和安全从业者认为，在如何彻底确保混合云安全性的问题上根本就没有万能的解决方案，这无疑是一个坏消息。

造成这种局面的原因是由于混合云安全涉及许多因素。例如，如何确保本地数据中心的资源安全，如何确保向公有云迁移的大量应用的安全，如何确保存储在多家云服务商上数据的安全，如何保护公有云和私有云的虚拟化基础，以及如何确保接入云基础设施的移动设备安全，这些都是需要解决的问题。

除了这些问题外，另一个阻碍创建一个万能解决方案的原因是，混合云的定义有待进一步被解释。在广义的安全性和特定的云安全性方面，每家公司都有着不同的理解。如果企业的策略是在戒备森严的本地数据中心或虚拟私有云中执行较低限度的操作，以及同时将批处理或用户前端处理迁移到云上，那么这一策略将成为IT部门的噩梦。

安全管理厂商趋势科技公司负责云安全的副总裁Dave Asprey说：“每个混合云部署都各具特点，这使得确保其安全性成为了一个移动目标。”Asprey赞同“网状云”的概念。所谓“网状云”就是指企业客户转移到一个分布式云模式上。在这一模式上，他们能够使用多家云服务商的服务，每一家云服务商都可以根据使用案例、价格和可获得性被相互替代。

Asprey说：“我并不认为，针对‘网状云’的威胁类型一定会比传统数据中心或私有云解决方案所面临的威胁要多。但是，在这些分布式云中运行的数据所面临的潜在风险肯定会增加。”

混合云安全策略

好的消息是，已在现有网络中部署了深度防御措施的企业能够在混合云安全管理策略中继续使用这些安全措施。需要注意的是，IT管理部门必须负责大量的高级规划，同时在混合云投入使用前就安全策略和设备方面的技术调整对员工进行培训。

普华永道咨询实践负责人兼公司全球安全实践主管Gary Loveland说：“通常在这一行业内，在相关安全顾虑被完全解决前，技术的应用速度都很快。”Loveland称，通过混合云，客户能够更加清楚安全需求，同时更加关注云服务商是否对定义和确保多租户边界安全、PCI和FISMA（联邦信息安全管理法案）合规性，以及审计功能等问题做好了充分的准备。

云安全联盟（简称为CSA）在2022年推出了“CSA安全信任与保证注册项目”（Security Trust and Assurance Registry，简称STAR）。用户可以免费注册并访问由众多云服务商所提供的安全控制文档。厂商在该项目中将提供关于他们的产品信息。这一项目旨在帮助用户评估他们正在使用或未来考虑使用的云服务商的安全风险。目前，该项目已经包含了20多家服务商的信息。

Loveland称，根本性的问题是企业必须在使用虚拟化技术和云服务管理方面积累丰富的经验，并能够充分利用更高级的安全解决方案。

从事审计、控制与信息系统安全的互联网服务商联盟ISACA的国际副总裁兼移动安全厂商RiskIQ的副总裁Jeff Spivey认同这一观点。他表示，企业IT部门通常认为，一旦他们将运营交给云服务商，那么安全责任将由后者承担。Spivey说：“这并不是真的。在这一阶段，IT部门需要更加努力地在他们的云服务上部署安全措施。”他指出，针对企业IT部门管理的较新ISACA架构COBIT 5.0列出了云计算中常见IT控制目标，可以作为部署混合云安全策略的重要指导纲要。

科学定制混合云策略

随着云计算宣传力度的持续加大，企业会要求IT部门通过管理获取云计算所宣传的经济效益。但是，IT部门的责任是确保企业能够安全地转向云计算，以获取这些效益。实际上，美国得克萨斯大学的计算机科研人员已经设计出了一种算法。这种算法能够帮助企业研发出一种能够感知风险的混合云策略。

据从事该项研究的Murat Kantarcioglu博士称，这种解决方案非常有效，能够在确保机制安全的情况下，在混合云环境中的公有与私有机器间进行分区计算。Kantarcioglu和他的同事已经为在混合云中分配数据和处理流程创建了一个框架，它能够同时满足性能、敏感数据泄露风险和平衡资源分配成本等众多互相制约的指标。

这一技术还将部署作为基于Hadoop与Hive的云计算基础设施的附加工具。Kantarcioglu的团队还通过实验证明，该技术可在不违反任何以前公有云使用限制的情况下，通过利用混合云组件大幅提升云计算性能。

Bluelock公司的CTO Pat O'Day表示，考虑混合云如何运行才符合企业整体信息安全管理方案，有助于IT部门为整个企业的处理程序重新设置适当的安全等级。O'Day说：“我们正在考虑如何为特定应用、特定的处理程序，甚至是特定的数据基础设置正确的安全等级。这样一来，企业将有更大的余地选择将安全资源花费在他们希望的地方上。”

云服务器安全厂商CloudPassage公司的产品副总裁Rand Wacker则认为，对安全环境苛刻的客户更适合使用混合云，因为在公有云和本地资源之间有直接的链接。这样一来，可以根据风险等级设定更为严格的安全策略。

ISACA的Spivey建议客户，无论企业制定怎样的安全策略，他们必须要确保这些安全策略具有可移植性。Spivey说：“不要将你的安全策略对象只限定在现有的云服务商身上。随着时间的流逝，出于价格或性能原因，你可能会选择不同的服务商。而在迁移过程中，你不希望必须重新考虑整体安全策略。”