IT世界已遷移到云端。市場數(shù)據(jù)各異，但對云使用的估測顯示，當(dāng)今總體計(jì)算工作負(fù)載的20-25%，都運(yùn)行在公共云環(huán)境中，未來5年這一數(shù)字還將增長至50%（高盛投資公司預(yù)測）。

公司企業(yè)開始在混合環(huán)境中運(yùn)營，包括了公共云、私有云和虛擬化環(huán)境。對大多數(shù)公司而言，這意味著需要有能服務(wù)于該整體基礎(chǔ)設(shè)施的安全控制措施。

就像邊界防御不足以防護(hù)公司網(wǎng)絡(luò)一樣，云端工作負(fù)載也不是默認(rèn)安全的。AWS共享責(zé)任模型將這一點(diǎn)表達(dá)得很清楚。

AWS照看著底層基礎(chǔ)設(shè)施，但其客戶依然要負(fù)責(zé)自身云端數(shù)據(jù)和應(yīng)用的安全、合規(guī)及操作控制。這意味著，安全配置、漏洞管理和日志管理等基礎(chǔ)控制，無論在云端還是在本地，都同樣重要。

由于云端和本地兩種環(huán)境中的控制方式不同，如果計(jì)劃將工作負(fù)載遷往云端，你可能會面臨一些挑戰(zhàn)。

云基礎(chǔ)設(shè)施與本地基礎(chǔ)設(shè)施迥異。如果原本的安全和合規(guī)控制是為本地環(huán)境設(shè)計(jì)的，千萬別假定它們在云端也能正常工作。比如說，可能缺乏對 亞馬遜Linux或Docker容器等面向云的技術(shù)的支持。反之，也別假設(shè)為云設(shè)計(jì)的控制措施，能在本地環(huán)境工作良好。

如果你的控制措施不能支持兩種環(huán)境，最終結(jié)果可能就是每種環(huán)境都要部署一套控制措施。多環(huán)境多控制情況下，不僅僅是部署，包括管理和報告都會很麻煩，時間傷不起。另外，如果各基礎(chǔ)設(shè)施上數(shù)據(jù)收集不持續(xù)，監(jiān)管空白也會出現(xiàn)。

另外一個難點(diǎn)在于，彈性計(jì)算環(huán)境的動態(tài)特性。彈性計(jì)算環(huán)境中，資產(chǎn)是按需求擴(kuò)充的，隨時可能上線和下線。你的安全控制要能適應(yīng)這種云資產(chǎn)快速創(chuàng)建和銷毀的需求。否則，可見性空白和錯誤就會隨著主機(jī)的出現(xiàn)/消失而產(chǎn)生。

兩家大型金融服務(wù)公司的實(shí)踐操作展現(xiàn)了該如何克服此一難點(diǎn)。這兩家公司均將重點(diǎn)放在了最小化新機(jī)器鏡像接收和推出之間的時間差上。他們實(shí)現(xiàn)的控制可以在鏡像被接收時自動建立基準(zhǔn)線。后續(xù)的改變也是實(shí)時檢測的，不留一點(diǎn)兒暴露窗口時間，確保持續(xù)遵從所有現(xiàn)行規(guī)則。

快速部署鏡像的能力，即便只有幾個小時，也能使其應(yīng)用開發(fā)人員充分利用云技術(shù)那前所未有的靈活性，享受持續(xù)的防護(hù)和長期審計(jì)跟蹤。

換句話說，確保你的基礎(chǔ)控制支持你整個基礎(chǔ)設(shè)施上的各種策略、操作系統(tǒng)、平臺和技術(shù)。

考慮一下能做到下列幾點(diǎn)的工具集：

監(jiān)視本地和外部環(huán)境；以統(tǒng)一的管理和報告環(huán)境，跨本地和云網(wǎng)絡(luò)應(yīng)用同一套健壯的控制措施；動態(tài)上下線節(jié)點(diǎn)，確保彈性環(huán)境中的持續(xù)監(jiān)測；本地策略和平臺之外，還要增加對云策略和平臺的支持；評估Docker容器之類的開發(fā)運(yùn)維和面向云的技術(shù)；在所選擇的環(huán)境中(如：AWS、Azure、VMWare等)輕松部署預(yù)固化的主機(jī)鏡像。

總之，可預(yù)見的將來，你可能需要防護(hù)本地和云端兩種環(huán)境。但不是所有解決方案都能在兩種環(huán)境之間正常工作，所以，別假定本地運(yùn)作良好的解決方案也能在云端表現(xiàn)不錯。