對于中型和大型企業(yè)而言,多云環(huán)境現(xiàn)已成為標(biāo)準(zhǔn)配置,技術(shù)領(lǐng)導(dǎo)者選擇使用多個云服務(wù)提供商以獲得更高的靈活性、彈性以及運營在多個云中帶來的額外優(yōu)勢。
然而,多云方法也帶來了挑戰(zhàn),特別是在安全方面。
事實上,根據(jù)Check Point軟件技術(shù)公司發(fā)布的《2025年云安全報告》,CISO將管理多云和混合云列為企業(yè)面臨的最大網(wǎng)絡(luò)安全挑戰(zhàn)之一,該挑戰(zhàn)在報告中排名第三,僅次于保護(hù)高價值資產(chǎn)和知識產(chǎn)權(quán)以及增強(qiáng)威脅可見性和檢測能力。
不過,保障多云環(huán)境的安全并非單一挑戰(zhàn),而是一系列挑戰(zhàn)。以下是CISO及其團(tuán)隊在這一領(lǐng)域面臨的最顯著的五大挑戰(zhàn)。
1. 實現(xiàn)所有云的充分可見性
這一挑戰(zhàn)在眾多安全領(lǐng)導(dǎo)者中位居首位。
經(jīng)驗豐富的CISO承認(rèn),長期以來,無論是在本地還是全部在云端,獲取準(zhǔn)確且完整的IT環(huán)境視圖都是一項艱巨的任務(wù),但他們強(qiáng)調(diào),在橫跨多個云服務(wù)提供商的環(huán)境中,這項任務(wù)變得更加復(fù)雜和困難。
這種蔓延使得CISO更難以“確信他們正在全面審視整個環(huán)境,正在尋找所有正確的事物,并且沒有遺漏任何安全環(huán)節(jié)。”Protiviti咨詢公司全球基礎(chǔ)設(shè)施、云和安全工程實踐負(fù)責(zé)人Randy Armknecht說道。
當(dāng)然,CISO對其所有云部署都有一定的可見性。實際上,他們可能對其中一個云環(huán)境(通常是企業(yè)首次采用的云)具有極高的可見性,因為他們在首次遷移到該云時投入了大量資源來培訓(xùn)團(tuán)隊使用該提供商的可觀測性工具。
然而,隨著企業(yè)擴(kuò)展到其他云設(shè)置,CISO經(jīng)常缺乏資源(時間、技能和工具)來擴(kuò)展這種可見性,Armknecht說。
而且,即使CISO及其團(tuán)隊對每個云服務(wù)提供商提供的可觀測性工具非常熟悉,他們通常仍然難以管理來自這些多個工具的信息,他補(bǔ)充道。
“大多數(shù)安全從業(yè)者在一個云中比在其他云中更得心應(yīng)手,他們可能對其中一個云感覺非常好,但對其他云卻沒有同樣的信心。”Armknecht解釋道。
技術(shù)進(jìn)步正在幫助CISO克服這一挑戰(zhàn)。Armknecht指出了諸如云原生應(yīng)用保護(hù)平臺(CNAPP)等提供多云可觀測性的工具。
他認(rèn)為使用這些工具是必要的。“我主張盡快實現(xiàn)全面可見性,我可不想在會議桌上被問及為什么我們不知道導(dǎo)致泄露的問題。”他說。
2. 平衡統(tǒng)一安全程序的簡便性與特定于提供商的方法的優(yōu)勢
一些CISO選擇為其整個云環(huán)境實施單一安全程序,而另一些則采取特定于云的方法。每種策略都有其優(yōu)缺點,IANS研究機(jī)構(gòu)教員兼公共部門CISO Wolfgang Goerlich說道。
“如果你對所有云都一視同仁,如果你有一個統(tǒng)一的安全程序,那就意味著你沒有使用原生安全工具,也沒有從每個云中發(fā)掘出價值,而且,并非所有解決方案都能從每個云服務(wù)提供商準(zhǔn)確地拉取數(shù)據(jù),也并非所有應(yīng)用都能像原生工具那樣精細(xì),”他解釋道,“但如果你采用原生方法,如果你深入每個云,你就會增加更多技術(shù),并且可能沒有團(tuán)隊能夠跨不同云工作,因此你在流程、人員和技術(shù)方面會面臨更多挑戰(zhàn)。”
Goerlich并沒有將一種選項列為優(yōu)于另一種,而是強(qiáng)調(diào)了在制定企業(yè)安全計劃時需要權(quán)衡每種選項的利弊。
“這全在于權(quán)衡,”他說,“你可以按云企業(yè)團(tuán)隊以從原生能力中獲取更多價值,或者讓你的團(tuán)隊對每個云都有足夠的了解以實施變革,或者采取更高層次的方法而不使用原生工具。”
3. 缺乏保障多個云安全所需的廣泛而深入的技能
保障多云環(huán)境的安全所需的技能比保障單一環(huán)境的安全所需的技能更多——這一要求給已經(jīng)在努力跟上保護(hù)現(xiàn)代企業(yè)所需的所有技能的CISO帶來了更多壓力。
此外,團(tuán)隊所具備的技能往往分布不均。
“大多數(shù)公司傾向于一個云,他們的技能也集中在那個云服務(wù)提供商上,但這意味著他們?nèi)狈ζ渌品?wù)提供商的技能。”IANS研究機(jī)構(gòu)教員兼Bedrock Security首席安全官George Gerchow說道。
例如,一個擅長從AWS收集日志的團(tuán)隊可能沒有自信在Azure中處理同樣的任務(wù),反之亦然,他說。“即使從高級層面來看,不同云服務(wù)提供商的日志本身也不同。如何攝入所有正確的日志以進(jìn)行安全調(diào)查以及如何發(fā)現(xiàn)安全漏洞也是不同的。”Gerchow解釋道。
制定一個考慮周全的安全策略以平衡統(tǒng)一安全程序的簡便性與特定于提供商的方法的優(yōu)勢(挑戰(zhàn)2)可以幫助確定所需的技能。
然后,CISO需要一個扎實的培訓(xùn)計劃以確保員工具備在多云環(huán)境中以及與每個云服務(wù)提供商成功執(zhí)行策略所需的技能,Gerchow說。換句話說,CISO必須投入足夠的資源來培訓(xùn)員工,使其能夠在企業(yè)使用的每個云中有效工作。
4. 正確配置
在任何環(huán)境中正確配置都是一項艱巨的任務(wù),但安全領(lǐng)導(dǎo)者表示,多云環(huán)境的規(guī)模和范圍使得這項任務(wù)變得極具挑戰(zhàn)性,Gerchow說。這是因為每個云服務(wù)提供商都有自己的一套服務(wù)、API和管理界面,以及自己的管理配置規(guī)則和系統(tǒng)。
綜合考慮,這給安全團(tuán)隊帶來了更多壓力,他們不僅必須學(xué)習(xí)和掌握所有特定于云的工具和技術(shù),還必須跟蹤哪些工具和技術(shù)適用于哪個云服務(wù)提供商,以確保他們不會犯配置錯誤。
錯誤很常見:Check Point的《2024年云安全報告》發(fā)現(xiàn),在經(jīng)歷公共云安全事件的受訪者中,有23%將原因歸咎于配置錯誤。常見的配置錯誤包括過于寬松的訪問控制、暴露的存儲桶、未加密的數(shù)據(jù)和不足的網(wǎng)絡(luò)分段——所有這些都可能導(dǎo)致數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問。
5. 正確進(jìn)行身份和訪問管理
CISO在多云環(huán)境中面臨類似的身份和訪問管理(IAM)挑戰(zhàn),Microsoft負(fù)責(zé)金融服務(wù)與州政府網(wǎng)絡(luò)安全顧問的前康涅狄格州CISO Jeffrey Brown說道。
需要明確的是,CISO在本地和單一云環(huán)境中也面臨IAM挑戰(zhàn),但他們在多云環(huán)境中正確進(jìn)行IAM面臨的挑戰(zhàn)更多,因為他們必須跨不同云服務(wù)提供商工作,每個提供商都有自己的IAM系統(tǒng)、運營模型、政策和程序,而且,他們必須為每個云管理用戶身份、角色和訪問控制機(jī)制。
所有這些都給CISO帶來了更多需要跟蹤和管理的內(nèi)容。
此外,多云環(huán)境還有更多需要跨多個云管理的非人類實體(如API和服務(wù)),這進(jìn)一步增加了多云環(huán)境中IAM的復(fù)雜性和規(guī)模。
當(dāng)然,每個身份都必須在其生命周期內(nèi)進(jìn)行管理——這進(jìn)一步加大了挑戰(zhàn)的規(guī)模。所有這些都可能導(dǎo)致——并且經(jīng)常導(dǎo)致——政策不一致以及訪問控制的監(jiān)控和執(zhí)行不一致。
這一挑戰(zhàn)如此重大,以至于Brown將身份和訪問管理列為安全團(tuán)隊在多云環(huán)境中面臨的首要挑戰(zhàn),然而,這并不是一個不可克服的問題,他說。
“如果你沒有一個正式的程序,那就將其正式化。你需要指定一名高管來負(fù)責(zé)該程序,無論是你作為CISO還是其他人。不能沒有人負(fù)責(zé),”他說。實施“強(qiáng)認(rèn)證措施以及一個全面、統(tǒng)一的策略”。
CISO如果在這方面遇到困難,應(yīng)該從小處著手,他補(bǔ)充道,重點關(guān)注特權(quán)用戶,這些用戶比標(biāo)準(zhǔn)用戶擁有對企業(yè)系統(tǒng)和數(shù)據(jù)的更高層級訪問權(quán)限,因此由于這種更高層級的訪問權(quán)限,他們更經(jīng)常成為黑客的目標(biāo)。
