五项指导原则实现多云环境安全保障

但在运行多云环境并享受相关优势的同时，我们也有必要采取适当的安全措施以实现保障能力。下面，我们首先从三大公有云巨头入手，逐步开启今天的议题。

公有云市场三大巨头

目前公有云市场由三大巨头把持，分别为AWS、微软Azure以及Google Cloud Platform。AWS参与最早且份额最高(达57%)，微软份额为34%，而谷歌则把持着15%。

运行在多云环境下实现安全保障

1. 避免Shadow Ops

只有企业内各个部门都认同多云环境带来的收益，才能真正发挥积极作用。然而，您可能面对着大量分散在AWS、Azure以及谷歌平台中的实例，并由DevOps团队负责根据具体情况对其加以使用。

在这种情况下，企业的安全性显然将受到严重影响。根据Gartner在2017年安全与风险管理峰会上得出的结论，到2020年，将有三分之一企业的IT资源遭遇攻击影响。因此，无论您所在的企业决定选用单一云供应商还是分散式基础设施，请确保每位成员都了解相关实例以及对应的安全最佳实践。这是解决Shadow Ops难题并提升整体安全水平的唯一途径。

2. 优先实现可见性

无论选择怎样的云平台，您都应确保对全部实例拥有可见能力。在理想情况下，您应对具体可见性进行优先级排序，并将其引入工作负载层。

单纯依靠基于签名的监控机制还远远不够，我们应当专注于通过基于行为型监控提升可见能力。具体来讲，我们应在全部实例当中引入行为监控手段，以快速发现异常行为。

您的安全解决方案应具备以下能力：

识别不受信的系统修改。

通过用户及进程行为监控捕捉威胁活动。

立即检测异常的用户、进程与文件活动。

只要拥有这样完善的可见能力，那么具体使用AWS、Azure或是谷歌云将不再重要——您仍能够保障运行安全。

3. 遵循最佳实践

每种云平台都拥有自己的最佳实践。因此如果您计划在多种平台上运行实例，请确保遵循与之对应的最佳实践。尽管三大巨头皆提供有所差别的最佳实践清单，但其中仍存在着一些普适性的标准：

随时了解您的环境内正在发生什么。

设置警报(按严重性排序)以通知您与策略相冲突的行为。

满足并高于合规性要求。

保持良好习惯：及时更新并安装补丁。

云服务供应商进行最佳实践共享的作法值得提倡，因为他们比任何人都更了解自己的技术方案，有责任教育并支持客户。

4. 关注自动化

人总是会犯错，Gartner认为到2020年，95%的云安全事故都源自客户的错误。在安全方面，人为错误可能引发各类风险，而依靠机器自动执行常规重复性任务则能够有效提升安全水平——特别是在多云环境当中。

我们建议您利用自动化方案进行安全设计，具体指导方针包括：

更新您的云治理规则。

了解共同责任模式。

采取持续性风险治理方法。

云环境能够帮助您的DevOps团队实现工作提速，并凭借着持续集成与持续开发周期带来显著的竞争优势。然而，云环境同样有可能引发风险，因此您必须利用自动化方案有效管理一切安全最佳实践，进而将出现错误的可能性控制在最低水平。

5. 坚持共同责任模式

最后，请确保充分理解共同责任模式。具体来讲，尽管AWS、谷歌与微软肩负着保护云环境自身的责任，但作为客户的您则需要保证您的应用程序、数据以及其它存在于云环境内的系统得到充分保护。如果有人在无需权限的情况下登录生产环境并引发风险，那么这部分责任将完全由您承担。因此，请确保充分理解这种新的责任分摊方式，并坚持加以贯彻。

结语