企业在采用多个云计算服务提供商的云服务时,考虑云平台和每个云服务的具体情况以保持安全性至关重要。
有些事情并不是单独出现的,企业采用云计算的方式也是如此,并且随着时间的推移将会增长。除非有特殊情况,企业都将采用多个云计算服务提供商的云计算服务,这是一个确凿无疑的事实。实际上,企业通常采用同一供应商的多个云计算模型或服务,或者使用不同云计算供应商的云计算服务,每个云计算供应商都有不同的配置选项和设置。
采用多云主要有几个原因。在某些组织中,其领导者可能明确决定使用多个云计算提供商的云计算服务作为更大的灾难恢复或业务连续性策略的一部分,建立冗余以帮助确保在服务失败时无法将其删除。
它也可能是无意中发生的。考虑企业并购的情况:如果两家公司合并,一家公司使用云计算提供商A的云计算服务,另一家公司使用云计算提供商B的云计算服务,那么会发生什么?由于按其规模将业务迁移到其他环境会耗费大量时间和成本,合并后的公司很可能会发现自己在一段不确定的时间内同时维护这两个云计算服务。这也可能发生在企业并购之外,例如同一公司的两个业务部门做出不同的购买决策。另外,在这种情况下,不要将采用的影子IT作为驱动因素。
无论它是如何发生的,现在很多企业都在处理多云面临的问题,无论是采用同一个云计算供应商的多个云服务,例如使用一家云计算供应商的IaaS和PaaS服务的公司采用不同云计算供应商的类似服务。从安全专业人员的角度来看,这种情况都是具有挑战性的。请记住,每个云计算提供商和每个云计算服务都将有不同的安全模型、不同的安全工具、不同的配置参数、不同的仪表盘和不同的联系点。而将所有这些细节放在一起,并创建一个连贯的多云安全策略是必须的措施。
确定云计算范围
实际上,企业安全团队如何才能很好地解决这个问题,并确保多云安全?需要考虑一些战略选择,但作为起点,企业首先要做的是掌握其范围:
- 采用多少个云计算供应商的云计算服务?
- 它们的用途是什么,由谁使用?
- 具体来说,使用的是什么?
这些问题的答案不仅从尽职调查的角度来看很重要,而且还将了解与安全相关的云计算区域以及它的用途。需要记住,这些信息可能会随着时间的推移而改变;仅仅因为某个给定的服务在这一秒没有被正确使用并不意味着有人不会在10分钟后开始使用它。
与其对所使用的服务进行清点,不如建立一个流程来定期更新列表。这可以通过一些机会来完成。例如,在进行连续性计划的业务影响分析时,需要留意云计算服务的使用情况。如何完成申请评估?查找并记录云计算服务使用情况。如何进行内部审计?记录任何云计算服务使用情况。如果有更多的云计算服务可以在电子表格中进行跟踪(在大型组织中很可能是这种情况,或者也跟踪SaaS),则可以使用清单工具。在记录每个问题时,记录一个联系点,然后可以联系到该联系点以提出其他问题。
整合多云安全策略
一旦了解了范围信息,下一步是处理与每个服务相关的细节。
此时,需要对已确定的服务的特定安全考虑因素和模型进行一些自我教育。具体情况因服务而异,但在技术层面和程序层面了解保护服务所涉及的内容和相关内容非常重要。这可能包括可能有助于保护它们的任何其他工具,例如AWS的GuardDuty、Azure的Sentinel、SaaS系统的日志记录等等。要完全理解这一点,可能需要从企业的用户那里收集有关服务的其他详细信息。这就是在首先识别服务时记录联系点非常重要的原因。
理解与安全密切相关的操作职责的重叠也很重要,即需要提供的内容与通过云计算提供商提供的工具或流程提供的内容相比。有时这将被明确记录。例如,Microsoft Azure和AWS文档共享责任以及提供者或客户是否负责安全操作和管理的各个方面。对于规模较小的提供商或SaaS产品来说,这些细节将不那么明确,但仍需要在规划阶段进行说明。
此外,了解可用于协助的各种工具至关重要。例如,IaaS供应商可能拥有可用于监控的复杂工具,而SaaS供应商可能只提供更少的应用程序、用户活动或API日志。需要记住,由于采用多个云计算供应商的云计算服务,因此这些供应商之间的工具集会有所不同。供应商A可以提供对不同工具的访问,并通过不同的接口访问,而供应商B不能。采用更多的云计算供应商的服务使这项工作更加复杂,因此将多云安全策略放在一起最终意味着需要熟悉这些选项,将安全目标映射到该区域,确定并采用云计算供应商提供的工具和资源,并确定可能尚未涵盖的领域,以便在后续规划中系统地解决这些问题。