选择多平台云遵循的5条安全原则

在云平台市场中，亚马逊云（AWS）早就处于领先地位。但是今天，依然开始有越来越多的公司‘另寻他路’选择其他云提供商的产品。这种选择通常不只是为了选择多平台云服务这么简单，而是会根据自身不同的业务需求（如管理风险和成本）来选购满足自身不同需求的云供应商。选择多个云供应商也能促进不同供应商间竞争，给予产品更优价格，也有助于刺激供应商间开发新的云产品功能来互相竞争。另外，许多运行微软平台的组织都提供免费的Azure信用。由此来看，为什么不利用多平台云的优势、降低整体云成本呢？

事实上，选择运行多平台云没有任何问题 ，但当确定这样做时，可能需要先精心规划下，首先要确保采取方案有着适当的安全防范措施。在这篇文章中，我们将介绍当从单一服务商转移到多平台云环境时应该警惕的五个原则。首先，让我们来看看世界上有哪些主要的云平台供应商。

公有云市场：三大主角

云平台市场的三大供应商：亚马逊云（AWS），微软云（Auzre）和谷歌云平台。 在这三大云平台中，AWS出现时间最长，它占据了目前最大的57％的市场份额，微软次之拥有34％的市场份额，谷歌只有15％的市场份额。

“公有云战争：AWS、Azure 、Google”这篇文章，从以下四个主要因素很好地对三大供应商进行概括分析比较：

• 计算能力
• 存储和数据库
• 网络
• 价格

如果有读者想了解三大供应商间运行环境方面有哪些区别，“公有云战争：AWS、Azure 、Google”这篇文章将给你一个明确的回答。

现在，我们来谈谈多平台云环境安全问题。

如何保障多平台云环境中运行安全

1.避免ShadowOps

如果选择了不同的供应商（多平台云）来一起运行服务，这对整体而言其实是很好的。考虑到结合多平台云利大于弊，用户可以尽一切可能利用服务商间竞争耗费最小成本来获得所需的功能。基于这种想法的人很多，现在有很多组织都放弃了一些分割的AWS账户，这些账户未连接或者具有不同实例的分散在AWS，Azure和Google平台上。但可能会发生这种情况，为了自身特定用例只考虑“开发和操作”（DevOps "development" and "operations"）结构而忽略整体环境的影响来做云平台选择。

正如我们在“ShadowOps不仅仅是糟糕的DevOps”一文中说明，忽略整体只考虑DevOps这样做可能会使整体安全性显着下降。有趣的是，到2020年，企业经历的三分之一的网络安全攻击只是承受在公司的影子IT资源（2017年Gartner安全与风险管理峰会）。因此，无论决定坚持一个云提供商还是跨越多个服务商，每个人都得了解为什么这种选择是对整体环境的最佳途径。这将减少“ShadowOps”类型问题出现，进而改善整体云安全状况。

（ShadowOps 作者在“ShadowOps不仅仅是糟糕的DevOps”一文中定义：为了解决单个业务单元中的问题而创建的系统，但实际上导致组织内的风险增加和整体协调性下降。 这将极大地影响开发流水线的长期稳定性以及传统或云运营专业人员的运营活动，如灾难恢复，合规性，错误分流/修复，安全性，计划和服务可用性。）

2.优先考虑可见性

无论选择哪种云平台，都需要确保所有实例中都具有完整的可视性。这意味着，当选择云安全解决方案时，应该优先选择一个提供深度可视性的解决方案，最理想情况下在工作负载层提供可视性解决方案。

在云服务中只基于签名的监控是不够的。应该具有基于行为的监控来提高可视性。换句话说，需要一个解决方案，能够在所有实例中进行放大行为的监控，并能快速检测异常行为。

安全解决方案应该能够：

• 识别不受信任的系统修改
• 通过对用户和流程的行为监控来捕获威胁
• 立即检测异常用户、进程和文件活动

如果在云实例中具有完整的可见性，那么无论使用的是AWS，Azure，Google还是三者的组合云服务，这都无关紧要，因为仍然可以运行安全。

3.遵循最佳实践

每个平台都有自己的一套最佳实践。因此，如果要跨多个平台运行实例，必需得清楚平台各自的最佳实践。亚马逊 AWS提供了他们平台上最佳实践的指南（也可以查看我们之前文章的前10名AWS最佳实践）。 微软Azure列出（并更新）了一系列涵盖各种云安全主题的文章，Google云端平台共享了一系列最佳实践。当然，这里有很多的重复说明文章，总结其中一些通用规则：

• 随时了解您的环境中发生了什么。
• 设置警报（按严重程度划分优先级），通知有关策略外行为。
• 达到并超过合规要求。
• 实践良好的卫生：保持一切更新和修补。

云供应商间共享最佳实践是一个很好的开端，他们比任何人都更了解自己的技术，他们有责任指导和支持客户。除了这些官方指导外，我们之前已经撰写了很多关于云安全最佳实践的文章，所以请读者查看我们以前的内容获取更多相关提示。

4.注意自动化

人类很容易出错。据统计，到2020年95％的云安全问题都归结于客户自身的错误（2017年Gartner安全与风险管理峰会）。在云安全领域，人为错误会带来各种风险问题。依靠机器自动化例程并执行可重复的任务，是个保障云安全状态的方法，这在跨多个云供应商运行多个实例时尤为明显。

我们建议利用自动化来设计云安全。要做到这一点，应该把重点放在：

• 更新云的治理规则
• 了解分担责任模式（我们将在下面介绍）
• 采取持续的风险处理方法

运行在云平台中可以让开发和操作（DevOps）结构开发更快。它能够实现持续的整合和持续的开发周期，在竞争中获得真正的发展。但是它也可能带来风险，所以要确保以最小的错误余量来保障所有安全的最佳的实践被有效地管理。

5.坚持共同责任模式

最后，确保了解共同责任模式。之前已经写过关于它的含义，也描述了当今共同责任模式的状态。在过去的5年中，79％的企业经历了实际上已经转化为重大运营意外的风险（2017年Gartner安全与风险管理峰会）。风险底线是，当利用公有云 - 无论是AWS，Google云，Azure还是其组合 - 都可以确保云中的一切都得到保护。可以依靠AWS，Google和Microsoft来保护云本身，但必须确保应用程序、数据和其他系统在云中得到完全保护。如果某人在没有权限前提下登录到生产环境，并且做了一些让云处于危险之中的事情，那原因得归结于用户自身。所以要确保用户明白自身的责任究竟在哪里开始和结束，并坚持下去。

最后的话...

我们觉得能够看到更多的企业在当今的云平台上充分利用市场的激烈竞争真是太棒了。虽然AWS目前市场上取得了明显的领先优势，但依然值得探讨一下客户其它的选择，了解还有哪些公有云适合各自需求，并能自行选择实现最终的采购。

只要将安全最佳实践置于最前沿，并采取措施确保云环境中的可见性，就可以安全地实现公有云的优势，而不会受到任何潜在缺陷的困扰。