隨著CIO們采用了混合云策略，其中一些人快速地認識到這些平臺環境需要一些新型的安全模型，或者至少在現有環境中應用現有的控制措施和安全技術。大多數企業還發現，他們的環境并不是簡單的純粹私有云加公有云。原有的內部部署系統，軟件即服務(SaaS)應用以及基礎設施即服務(IaaS)都將在其中發揮作用。

用于保護公有云和私有云資源的安全工具可能仍然包括諸如防火墻、訪問控制和日志管理這樣基于邊界的控制措施，但是傳統IT安全措施的作用也就僅限于此了。 “完成工作的方法各不相同，從某種意義上說，西班牙與法國是不同的，”總部位于賓夕法尼亞州Blue Bell的一家全球IT服務廠商Unisys公司的首席信息安全官Dave Frymier說。“安全團隊將不得不學習新的語言，但是他們將做的風險分析工作卻是與他們目前在企業內部中做的是一樣的。”

諸如Unisys和ING(后者是一家總部位于阿姆斯特丹的全球性金融機構)這樣的企業正在使用混合云作為整合數據中心的一種方法。這樣做是有道理的：你不必提供前期資金來購置、安裝、運行你的服務器，你可以按需租用相關資源，并根據運營預算進行費用支付。

與進行實際的投資不同，你可以充分利用IaaS廠商的服務和專業知識，并只在實際需要時租用設備。“IaaS在主要云廠商的努力下已經獲得了長足的進步和發展，它已不同于五年前最初的面向客戶的云了，”Frymier說。“我們現在擁有一個完全虛擬的基礎設施，可以將其用于安全環境的開發，而企業級服務所帶來的成本節省要高于之前的客戶版本。”

當執行整合任務時，可以集成相關的安全措施，這使得云具有了與傳統數據中心相同的安全級別。銀行業界已經建立了他們自己的體系架構和網絡標準，較早的先行者ING公司的前CIO和全球COO Steve C. Van Wick就擔任了銀行業架構網絡董事會的主席。其主要工作包括了在相應安全等級的前期進行開發的實施指南。

　　Richard Seroter

最好的策略包括：使用云-本地或云-第一的安全工具，而不是強迫無法轉化的傳統技術(例如防火墻或入侵防御設備)來負責內部部署環境和基于云的環境。

無論你是遷移內部資產，還是使用外部云服務，或者是集成私有云公有云和內部部署服務器，這里有五個通用的策略，這是很多CIO們用于緩解安全性問題的良方：

1. 逐步提高用戶的受培訓程度和加強與他們的溝通。如鴕鳥般把頭埋在沙子里并不是一個真正的好策略。“你總是需要站出來解決問題的，”世紀互聯技術解決方案公司產品副總裁Richard Seroter說。該公司在2013年收購了Web hosterSavvis，并向全球數據中心提供自助云服務或托管服務。

“只要用戶有一張信用卡，那么他就可以基于云在任何地方部署應用，”他說。“與之前在項目結尾時出臺各種限制條件不同，我們應學習如何在項目前期就與運營和用戶展開協作。”Seroter說，這種方法還有其他的一些好處：“安全性將成為我們向每一位客戶做簡報內容的一部分，”他指出。“我們不會等待用戶向我們咨詢安全性方面的問題，而是應盡量采用積極的方法，讓我們的客戶了解應與我們共同承擔的責任——我們試圖通過盡可能坦率的對話來討論他們如何安全地訪問他們的數據。”

你還必須注意潛在的法規和法律后果，并對你的員工開展培訓。“我們云遷移戰略的一個關鍵部分就是與我們的法務部門協作來定義出一個新的信息安全框架，并于 2014年年初推出，”國際紅十字會和紅新月會的全球CIO Ed Happ說。在2013年，該組織擴大了其與微軟公司簽訂的協議，使得它在187個國家中的80個組織使用云服務，其中就包括了Microsoft Office 365。其目的就是為了騰出資源和節省開支，并通過為全球眾多小型國家組織提供相同的訪問工具而解決了數字鴻溝問題。

　　Ed Happ

紅十字會在實際應用中發現，該組織所擁有的九成半以上信息都是公開或內部的，這些信息并不需要采用超出商用應用所提供安全等級的安全措施。對于剩下的半成，Happ表示，紅十字會會把這類信息集中在它的內部網中，從而幫助全球用戶實現工具與他們特定需求和信息安全要求的匹配。具體包括了培訓視頻和其他關于如何確保應用安全的應用指南。

2.使用更強大的身份驗證方法來保護云訪問。當僅僅只要一個用戶名和密碼就能夠任意使用你的所有資源時，采用多模式身份驗證方法(MFA)和單點登陸方法(SSO)就變得意義非凡了，它們可以更好地保護用戶的這些資產。SSO工具能夠更好地支持各種廣泛的基于云應用和實施。通常情況下，這些產品提供了兩個 URL：一個供用戶進行應用單點登陸的門戶頁面和一個供IT管理人員使用的管理門戶頁面。

目前，大多數SSO產品能夠實現數以千計應用的登陸自動化。一些SSO工具(例如SecureAuth、Okta、Ping和Centrify)可以針對特定應用作為基于風險身份驗證方法的一部分而指定MFA。這使得SSO成為了一個強大的保護工具，而且與依靠用戶選擇個人密碼相比，這也大大提升了登陸的安全性。這也意味著，IT部門可以在定義基于云的資產和匹配合適安全級別中發揮更重要的作用。

3. 開始使用加密的電子郵件和文件傳輸來保護您的通訊。當您的大部分通訊都是通過互聯網進行時，您需要使用更好的方法來保護這些信息，而最好的方法就是使用加密的電子郵件和文件傳輸。如果您還沒有使用，那也沒關系，現在這兩種加密方法都是簡單易用的。

國際紅十字會正在使用一個零知識的電子郵件客戶端。這個客戶端使用了一個共享密碼來解密您的消息，并支持相關人士進行回復。在某些情況下，收信人只是通過一些鼠標點擊操作就可以進行自我身份驗證來閱讀消息。在首次通訊之后，收信人就能夠與您相當容易地交換加密消息。這樣就避免了必須預先選擇一個通用通訊工具進行安全消息的傳輸。紅十字會還使用了一個文件傳輸服務，該服務可對存儲狀態和傳輸狀態的文件進行加密。這兩種產品可用于需要進行高度敏感通訊的應用，例如在不同管理委員會之間進行消息交換或其他更高級工作中的信息交換。

4. 實施更好的訪問角色定義以控制您的虛擬機(VM)。隨著用戶部署越來越多的虛擬基礎設施，您需要加強保護措施以保護用戶對虛擬機的訪問。諸如 HyTrust和Catbird這樣的產品可以用于部署更高粒度的訪問控制，這樣用戶就可以運行駐留在虛擬機中的應用，而無法啟動、停止或刪除整個虛擬機。此外，更重要的是這些工具不僅可以在數據中心內運行，而且可以在云中正常工作。這些技術還可用于對訪問進行日志記錄，就如同其它擁有基于角色訪問控制的安全工具產品一樣。“我們無法總是看著你不讓你做壞事，但是我們可以仔細地實施基于角色的訪問控制，從而實現虛擬機之間的相互隔離，并確保用戶擁有合適的訪問級別，”Seroter說。

5. 為即將到來的微分和虛擬容器做好準備。諸如Docker容器這樣的工具能夠幫助您集中在云中的資源，并更緊密地針對您的工作負載和需求。不需要負責整個虛擬機，您只需要啟動一個虛擬過程或自動鏈接至針對特定任務的一系列流程。“容器能夠存在10秒或者10天，”Seroter說。“你必須知道如何評估攻擊面，因為這是一個完全不同的事物。”

微分產品(例如FireHost)能夠針對特定的工作負載以編程的方式提供網絡服務和策略。他們可以設置特定的VLAN和防火墻，并在虛擬網絡接口處強制執行這些策略。“安全專業人員需要比這些新出現的趨勢更提前一步，要了解它們的局限性以及如何安全地使用它們，”Seroter說，“不只是預防那些被部署的東西。”