有些事情并不是單獨出現的，企業采用云計算的方式也是如此，并且隨著時間的推移將會增長。除非有特殊情況，企業都將采用多個云計算服務提供商的云計算服務，這是一個確鑿無疑的事實。實際上，企業通常采用同一供應商的多個云計算模型或服務，或者使用不同云計算供應商的云計算服務，每個云計算供應商都有不同的配置選項和設置。

 

采用多云主要有幾個原因。在某些組織中，其領導者可能明確決定使用多個云計算提供商的云計算服務作為更大的災難恢復或業務連續性策略的一部分，建立冗余以幫助確保在服務失敗時無法將其刪除。

 

它也可能是無意中發生的?？紤]企業并購的情況：如果兩家公司合并，一家公司使用云計算提供商A的云計算服務，另一家公司使用云計算提供商B的云計算服務，那么會發生什么?由于按其規模將業務遷移到其他環境會耗費大量時間和成本，合并后的公司很可能會發現自己在一段不確定的時間內同時維護這兩個云計算服務。這也可能發生在企業并購之外，例如同一公司的兩個業務部門做出不同的購買決策。另外，在這種情況下，不要將采用的影子IT作為驅動因素。

 

無論它是如何發生的，現在很多企業都在處理多云面臨的問題，無論是采用同一個云計算供應商的多個云服務，例如使用一家云計算供應商的IaaS和PaaS服務的公司采用不同云計算供應商的類似服務。從安全專業人員的角度來看，這種情況都是具有挑戰性的。請記住，每個云計算提供商和每個云計算服務都將有不同的安全模型、不同的安全工具、不同的配置參數、不同的儀表盤和不同的聯系點。而將所有這些細節放在一起，并創建一個連貫的多云安全策略是必須的措施。

 

 

實際上，企業安全團隊如何才能最好地解決這個問題，并確保多云安全?需要考慮一些戰略選擇，但作為起點，企業首先要做的是掌握其范圍：

 

•采用多少個云計算供應商的云計算服務?

 

•它們的用途是什么，由誰使用?

 

•具體來說，使用的是什么?

 

這些問題的答案不僅從盡職調查的角度來看很重要，而且還將了解與安全相關的云計算區域以及它的用途。需要記住，這些信息可能會隨著時間的推移而改變;僅僅因為某個給定的服務在這一秒沒有被正確使用并不意味著有人不會在10分鐘后開始使用它。

 

與其對所使用的服務進行清點，不如建立一個流程來定期更新列表。這可以通過一些機會來完成。例如，在進行連續性計劃的業務影響分析時，需要留意云計算服務的使用情況。如何完成申請評估?查找并記錄云計算服務使用情況。如何進行內部審計?記錄任何云計算服務使用情況。如果有更多的云計算服務可以在電子表格中進行跟蹤(在大型組織中很可能是這種情況，或者也跟蹤SaaS)，則可以使用清單工具。在記錄每個問題時，記錄一個聯系點，然后可以聯系到該聯系點以提出其他問題。

 

 

一旦了解了范圍信息，下一步是處理與每個服務相關的細節。

 

此時，需要對已確定的服務的特定安全考慮因素和模型進行一些自我教育。具體情況因服務而異，但在技術層面和程序層面了解保護服務所涉及的內容和相關內容非常重要。這可能包括可能有助于保護它們的任何其他工具，例如AWS的GuardDuty、Azure的Sentinel、SaaS系統的日志記錄等等。要完全理解這一點，可能需要從企業的用戶那里收集有關服務的其他詳細信息。這就是在首先識別服務時記錄聯系點非常重要的原因。

 

理解與安全密切相關的操作職責的重疊也很重要，即需要提供的內容與通過云計算提供商提供的工具或流程提供的內容相比。有時這將被明確記錄。例如，Microsoft Azure和AWS文檔共享責任以及提供者或客戶是否負責安全操作和管理的各個方面。對于規模較小的提供商或SaaS產品來說，這些細節將不那么明確，但仍需要在規劃階段進行說明。

 

此外，了解可用于協助的各種工具至關重要。例如，IaaS供應商可能擁有可用于監控的復雜工具，而SaaS供應商可能只提供更少的應用程序、用戶活動或API日志。需要記住，由于采用多個云計算供應商的云計算服務，因此這些供應商之間的工具集會有所不同。供應商A可以提供對不同工具的訪問，并通過不同的接口訪問，而供應商B不能。采用更多的云計算供應商的服務使這項工作更加復雜，因此將多云安全策略放在一起最終意味著需要熟悉這些選項，將安全目標映射到該區域，確定并采用云計算供應商提供的工具和資源，并確定可能尚未涵蓋的領域，以便在后續規劃中系統地解決這些問題。