他說：“當(dāng)我從包裝盒中取出新手機時，它幾乎無法使用。要使其功能正常，首先必須將其連接到互聯(lián)網(wǎng)。然后需要下載應(yīng)用程序，并且需要數(shù)據(jù)(例如聯(lián)系人或照片)以使其應(yīng)用實現(xiàn)個性化。最后，啟用面部識別和其他功能，并采取措施確保除本人之外的人員都不能使用它。”

 

Mulder表示，多云的概念也是如此。在多個平臺上運行復(fù)雜的環(huán)境需要一種綜合的策略來處理連接性、應(yīng)用程序、數(shù)據(jù)存儲和安全性。

 

在其撰寫的名為《多云架構(gòu)和治理》的著作中，Mulder闡述了企業(yè)架構(gòu)知識對于構(gòu)建基于業(yè)務(wù)目標(biāo)的多云戰(zhàn)略的重要性，以及它屬于安全戰(zhàn)略的原因。

 

Mulder詳細(xì)介紹了作為企業(yè)架構(gòu)師將如何影響安全方法，并為云計算和安全專業(yè)人員提供了職業(yè)策略的建議。他接受了行業(yè)媒體的采訪，并對提出的問題進(jìn)行了解答。

 

 

Mulder：應(yīng)用程序是云計算基礎(chǔ)設(shè)施的基礎(chǔ)。但目前很少有書籍描述如何在AWS、Azure或谷歌云平臺進(jìn)行設(shè)置，對于如何使用不同的云平臺也很少描述。所以我決定自己編寫一本。

 

我首先從技術(shù)基礎(chǔ)對全球三個主要的公共云進(jìn)行比較。我要從企業(yè)架構(gòu)師的角度進(jìn)行思考，這導(dǎo)致我編寫的這本書的第一部分專注于多云治理和架構(gòu)。而在考慮安全技術(shù)之前，需要考慮業(yè)務(wù)角度和架構(gòu)框架，因此規(guī)劃多云策略至關(guān)重要。

 

 

Mulder：很多公司仍然認(rèn)為，一旦他們進(jìn)入混合云、公共云的或多云的運營環(huán)境，他們的工作負(fù)載就會受到默認(rèn)保護(hù)，顯然不是這樣。這些云平臺所做的唯一一件事就是提供一個工具箱，用戶可以用它保護(hù)運營環(huán)境。這與組織在傳統(tǒng)基礎(chǔ)設(shè)施中確保工作負(fù)載安全沒有什么不同。

 

組織不要認(rèn)為能夠阻止網(wǎng)絡(luò)攻擊者進(jìn)入其系統(tǒng)。但是，當(dāng)考慮應(yīng)對不可避免的攻擊時，組織可以計劃如何響應(yīng)以及如何保護(hù)運營范圍內(nèi)的資產(chǎn)。例如可以采取適當(dāng)?shù)拇胧?，一旦?shù)據(jù)落入攻擊者手中，就會使其無法使用。

 

在多云環(huán)境中，保護(hù)外圍設(shè)備的資產(chǎn)尤為重要，因為組織并不總是完全了解資產(chǎn)。許多客戶并不知道他們的服務(wù)在世界各地運行。這是因為云平臺遍布全球，不再是組織的內(nèi)部部署數(shù)據(jù)中心。

 

 

Mulder：云蔓延增加了安全性的復(fù)雜性。為了防止蔓延，組織的最佳實踐是將所有內(nèi)容盡可能地放在一個堆棧中，但在多云的世界中不可能做到這一點。以智能手機為例：當(dāng)人們打開手機時，正在使用許多不同的應(yīng)用程序，而這些應(yīng)用程序來自Google、Apple、Microsoft以及來自世界各地的其他應(yīng)用程序，而確保它們的安全性取決于使用者。確保安全是唯一可以訪問手機的用戶的責(zé)任，例如啟用Face ID身份驗證。

 

多云安全最佳實踐首先需要對資產(chǎn)和身份進(jìn)行清查，知道誰以及為什么在組織的系統(tǒng)中。需要注意的是，標(biāo)識可以應(yīng)用于收集數(shù)據(jù)甚至軟件的服務(wù)、應(yīng)用程序、API。當(dāng)組織將這些視為身份驗證因素時，更容易想到保護(hù)數(shù)據(jù)和應(yīng)用程序的方法。

 

 

Mulder：組織需要學(xué)習(xí)如何構(gòu)建企業(yè)架構(gòu)，因為多云安全不僅僅是技術(shù)問題。構(gòu)建防火墻是一條安全的捷徑，但安全性并非始于防火墻，而是始于治理。需要回答一系列問題，例如，誰有資格進(jìn)入什么系統(tǒng)?需要在哪里保護(hù)系統(tǒng)，在什么級別進(jìn)行保護(hù)?為什么?在進(jìn)行治理之后，還要考慮數(shù)據(jù)，然后是應(yīng)用程序，最后是技術(shù)。企業(yè)架構(gòu)關(guān)注全局，并確定技術(shù)是否以及如何為組織增加價值。

 

組織可以在云計算環(huán)境中的任何部分構(gòu)建更強大的虛擬防火墻，以確保安全，但是這樣做可能會使它完全無法使用。組織必須在安全性和可用性之間保持平衡。

 

 

Mulder：從治理的角度而言，耐心聽取客戶的意見很重要。需要了解信譽是組織與客戶建立關(guān)系的原因，所以要自信但不要傲慢。需要能夠冷靜地解釋事情，并隨時準(zhǔn)備采納新的觀點。

 

 

Mulder：我使用和研究了三個主要云平臺——AWS、Azure、GCP。有趣的是，各個云平臺之間存在一些相似之處，也有一些方面完全不同的。在編寫本書之前，我很了解AWS和Azure，但是谷歌云平臺(GCP)對我來說是新事物。

 

打開谷歌云平臺是從云計算控制臺開始，而不是腳本或PowerShell開始。這很費時，但為了撰寫這本書，我不得不從控制臺執(zhí)行所有操作。在起初，我覺得自己回到了10年前，當(dāng)時采用Unix重新編程。但令我驚訝的是它的強大功能。我可以在谷歌云平臺里做一些我從未想象過的事情，這對我來說是一個重大發(fā)現(xiàn)。

 

 

Mulder：毫無疑問，開放組架構(gòu)框架(TOGAF)應(yīng)該是其中之一。建議安全架構(gòu)師應(yīng)該獲得TOGAF認(rèn)證以及安全認(rèn)證。

 

如果組織正在進(jìn)入云端，那么從哪里開始并不重要?？梢詮腁Z-900：Azure基礎(chǔ)知識或AWS基本認(rèn)證開始。所有云采用框架都涵蓋身份、安全性、成本管理和治理。無論對于AWS還是Azure或谷歌云平臺，云計算基礎(chǔ)課程的唯一區(qū)別在于技術(shù)。它們看起來可能有所不同，但是學(xué)習(xí)通用的公共云概念可以使組織在任何一個云計算環(huán)境中工作。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。