然而,多云方法也帶來了挑戰,特別是在安全方面。
事實上,根據Check Point軟件技術公司發布的《2025年云安全報告》,CISO將管理多云和混合云列為企業面臨的最大網絡安全挑戰之一,該挑戰在報告中排名第三,僅次于保護高價值資產和知識產權以及增強威脅可見性和檢測能力。
不過,保障多云環境的安全并非單一挑戰,而是一系列挑戰。以下是CISO及其團隊在這一領域面臨的最顯著的五大挑戰。
1. 實現所有云的充分可見性
這一挑戰在眾多安全領導者中位居首位。
經驗豐富的CISO承認,長期以來,無論是在本地還是全部在云端,獲取準確且完整的IT環境視圖都是一項艱巨的任務,但他們強調,在橫跨多個云服務提供商的環境中,這項任務變得更加復雜和困難。
這種蔓延使得CISO更難以“確信他們正在全面審視整個環境,正在尋找所有正確的事物,并且沒有遺漏任何安全環節。”Protiviti咨詢公司全球基礎設施、云和安全工程實踐負責人Randy Armknecht說道。
當然,CISO對其所有云部署都有一定的可見性。實際上,他們可能對其中一個云環境(通常是企業首次采用的云)具有極高的可見性,因為他們在首次遷移到該云時投入了大量資源來培訓團隊使用該提供商的可觀測性工具。
然而,隨著企業擴展到其他云設置,CISO經常缺乏資源(時間、技能和工具)來擴展這種可見性,Armknecht說。
而且,即使CISO及其團隊對每個云服務提供商提供的可觀測性工具非常熟悉,他們通常仍然難以管理來自這些多個工具的信息,他補充道。
“大多數安全從業者在一個云中比在其他云中更得心應手,他們可能對其中一個云感覺非常好,但對其他云卻沒有同樣的信心。”Armknecht解釋道。
技術進步正在幫助CISO克服這一挑戰。Armknecht指出了諸如云原生應用保護平臺(CNAPP)等提供多云可觀測性的工具。
他認為使用這些工具是必要的。“我主張盡快實現全面可見性,我可不想在會議桌上被問及為什么我們不知道導致泄露的問題。”他說。
2. 平衡統一安全程序的簡便性與特定于提供商的方法的優勢
一些CISO選擇為其整個云環境實施單一安全程序,而另一些則采取特定于云的方法。每種策略都有其優缺點,IANS研究機構教員兼公共部門CISO Wolfgang Goerlich說道。
“如果你對所有云都一視同仁,如果你有一個統一的安全程序,那就意味著你沒有使用原生安全工具,也沒有從每個云中發掘出價值,而且,并非所有解決方案都能從每個云服務提供商準確地拉取數據,也并非所有應用都能像原生工具那樣精細,”他解釋道,“但如果你采用原生方法,如果你深入每個云,你就會增加更多技術,并且可能沒有團隊能夠跨不同云工作,因此你在流程、人員和技術方面會面臨更多挑戰。”
Goerlich并沒有將一種選項列為優于另一種,而是強調了在制定企業安全計劃時需要權衡每種選項的利弊。
“這全在于權衡,”他說,“你可以按云企業團隊以從原生能力中獲取更多價值,或者讓你的團隊對每個云都有足夠的了解以實施變革,或者采取更高層次的方法而不使用原生工具。”
3. 缺乏保障多個云安全所需的廣泛而深入的技能
保障多云環境的安全所需的技能比保障單一環境的安全所需的技能更多——這一要求給已經在努力跟上保護現代企業所需的所有技能的CISO帶來了更多壓力。
此外,團隊所具備的技能往往分布不均。
“大多數公司傾向于一個云,他們的技能也集中在那個云服務提供商上,但這意味著他們缺乏其他云服務提供商的技能。”IANS研究機構教員兼Bedrock Security首席安全官George Gerchow說道。
例如,一個擅長從AWS收集日志的團隊可能沒有自信在Azure中處理同樣的任務,反之亦然,他說。“即使從高級層面來看,不同云服務提供商的日志本身也不同。如何攝入所有正確的日志以進行安全調查以及如何發現安全漏洞也是不同的。”Gerchow解釋道。
制定一個考慮周全的安全策略以平衡統一安全程序的簡便性與特定于提供商的方法的優勢(挑戰2)可以幫助確定所需的技能。
然后,CISO需要一個扎實的培訓計劃以確保員工具備在多云環境中以及與每個云服務提供商成功執行策略所需的技能,Gerchow說。換句話說,CISO必須投入足夠的資源來培訓員工,使其能夠在企業使用的每個云中有效工作。
4. 正確配置
在任何環境中正確配置都是一項艱巨的任務,但安全領導者表示,多云環境的規模和范圍使得這項任務變得極具挑戰性,Gerchow說。這是因為每個云服務提供商都有自己的一套服務、API和管理界面,以及自己的管理配置規則和系統。
綜合考慮,這給安全團隊帶來了更多壓力,他們不僅必須學習和掌握所有特定于云的工具和技術,還必須跟蹤哪些工具和技術適用于哪個云服務提供商,以確保他們不會犯配置錯誤。
錯誤很常見:Check Point的《2024年云安全報告》發現,在經歷公共云安全事件的受訪者中,有23%將原因歸咎于配置錯誤。常見的配置錯誤包括過于寬松的訪問控制、暴露的存儲桶、未加密的數據和不足的網絡分段——所有這些都可能導致數據泄露和未經授權的訪問。
5. 正確進行身份和訪問管理
CISO在多云環境中面臨類似的身份和訪問管理(IAM)挑戰,Microsoft負責金融服務與州政府網絡安全顧問的前康涅狄格州CISO Jeffrey Brown說道。
需要明確的是,CISO在本地和單一云環境中也面臨IAM挑戰,但他們在多云環境中正確進行IAM面臨的挑戰更多,因為他們必須跨不同云服務提供商工作,每個提供商都有自己的IAM系統、運營模型、政策和程序,而且,他們必須為每個云管理用戶身份、角色和訪問控制機制。
所有這些都給CISO帶來了更多需要跟蹤和管理的內容。
此外,多云環境還有更多需要跨多個云管理的非人類實體(如API和服務),這進一步增加了多云環境中IAM的復雜性和規模。
當然,每個身份都必須在其生命周期內進行管理——這進一步加大了挑戰的規模。所有這些都可能導致——并且經常導致——政策不一致以及訪問控制的監控和執行不一致。
這一挑戰如此重大,以至于Brown將身份和訪問管理列為安全團隊在多云環境中面臨的首要挑戰,然而,這并不是一個不可克服的問題,他說。
“如果你沒有一個正式的程序,那就將其正式化。你需要指定一名高管來負責該程序,無論是你作為CISO還是其他人。不能沒有人負責,”他說。實施“強認證措施以及一個全面、統一的策略”。
CISO如果在這方面遇到困難,應該從小處著手,他補充道,重點關注特權用戶,這些用戶比標準用戶擁有對企業系統和數據的更高層級訪問權限,因此由于這種更高層級的訪問權限,他們更經常成為黑客的目標。
企業網D1net(m.hfnxjk.com):
國內頭部to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號