云计算已经成为一股主流力量，为现代组织带来了规模经济和突破性的技术进步，但这不仅仅是一种趋势。云计算以惊人的速度发展，并且在许多组织中，云计算与支持关键日常运营的复杂技术环境交织在一起。

 

这种不断扩展的云环境带来了新的风险类型。业务和安全领导者在保护其现有IT环境方面已经面临许多挑战。他们现在还必须找到安全使用多种云服务，受支持的应用程序和底层技术基础设施的方法。

 

安全使用云服务的需求
组织使用云服务在云环境中存储机密数据已充分证明了云服务支持的业务流程激增。但是，在使用云服务时，组织仍不确定是否将其数据委托给云服务提供商（CSP）。CSP通常提供一定级别的经多次调查得到证实的安全性，但与云相关的安全事件确时有发生。

 

CSP不能单独对其客户的关键信息资产的安全性负责。云安全同样依赖于客户实施正确级别的信息安全控制的能力。但是，云环境复杂多样，这妨碍了部署和维护核心安全控制的一致方法。组织必须意识到并履行其责任，共同保护云服务，以成功应对日益针对云环境的网络威胁，这一点至关重要。

 

云服务的关键特性
云服务的易获得性、相对较低的安装成本、而且有机会取代不再满足业务需求的传统技术，吸引了众多创业公司迅速采用云服务。但是，由于使用多个云服务固有的独特和多样的特性，管理安全性并不是一项简单的任务。

 

云服务涵盖了广泛的产品，例如业务应用程序包括在线ERP系统和在线CRM系统，文档存储解决方案，数据库和虚拟服务器，所有这些都可以通过公共网络（较常见的是Internet）从选定的CSP中按需购买。

 

随着组织转向云计算以增强其业务运营，他们更青睐于购买云服务而不是扩展传统的本地IT数据中心。通常被称为云优先策略，这种方法已被无数组织采用。对于许多组织而言，这意味着它们几乎整个IT基础架构都将托管在云环境中。    

 

多云环境的兴起
随着组织获得新的云服务，他们通常会从多个CSP中选择这些服务，因此需要处理由于使用两个或多个CSP服务而产生的多云环境。

 

组织偏爱多云环境，因为它允许他们跨不同的CSP（例如AWS，Microsoft Azure，Google Cloud，Salesforce）选择喜欢的云服务。但是，通常不同的CSP采用不同的术语、不同的特定技术和方法来进行安全管理。因此，云客户需要获得广泛的技能和知识，才能安全地使用来自多个CSP的不同云服务。

 

组织需要一系列不同的用户从组织的网络范围内通过安全的网络连接（例如，通过网关）来安全地访问云服务。然而，企业也需要其云服务能够被企业合作伙伴和远程工作的用户从外部访问，所有这些用户都通过组织指定的安全网络连接进行连接。

 

克服云安全挑战
虽然CSP为他们的云服务提供了一定程度的安全性，这要求组织理解并解决云环境的复杂和异构方面所带来的许多安全挑战。

 

我们的ISF成员已经确定了在云环境中安全运行的几个障碍。主要挑战包括：

• 识别并维护适当的安全控制
• 平衡CSP和云客户之间的安全共享责任
• 满足法规要求以保护云环境中的敏感数据

云计算使用的快速增长加剧了这些挑战，在某些情况下，使得组织没有足够的准备来处理与使用云服务相关的安全问题。

 

平衡CSP和云客户之间的安全共享责任
确保云服务的使用是CSP和云客户之间的共同责任。CSP承担的安全义务是保护多租户云环境，包括后端服务和物理基础结构，以及防止不同客户之间的数据混合。

 

虽然CSP维护大部分底层云基础设施，但云客户负责保护其数据和用户管理。客户的责任是否扩展到为应用程序，操作系统和网络执行安全配置，将取决于所选的云服务模型。

 

这种共享的安全责任可能会造成混乱，并导致过度依赖CSP来减轻威胁和预防安全事件。至关重要的是，云客户不能完全依赖CSP来部署适当的安全措施，但是需要清楚地了解如何与每个CSP共享安全责任，以便识别和部署必要的安全控制来保护云环境。

 

满足法规要求以保护云环境中的敏感数据
使用本地IT数据中心的组织将确切知道其关键数据和敏感数据位于何处，并且可以完全控制其数据的移动。这在实施安全控制时有很大帮助，而在云环境中，数据可以更自由地进出组织范围。这可能会掩盖关键和敏感数据的位置以及如何保护它们，从而可能妨碍组织根据合规性要求在其所有云服务中有效实施必需的安全控制的能力。

 

虽然云客户有责任确保其数据在云环境中的安全性，但客户对其数据的控制在本质上是有限的，因为数据由外部方(CSP)存储在异地(通常是在不同的国家)。此外，处于弹性考虑，CSP经常利用地理位置不同的几个数据中心，以确保组织的数据存储在一个以上的服务器上。

 

这在跨国界管理数据、了解数据在特定时刻的位置、确定适用的法律管辖权和确保遵守相关法律法规方面增加了额外的复杂性——这还是云客户的义务，而不仅仅是CSP的。

 

发挥更大潜力并承担责任
现代组织必须快速运作，提供新产品和服务，以保持竞争优势。因此，许多人选择进一步向云计算迈进，因为云服务提供的弹性和可伸缩性提供了竞争所需的所需的灵活性。为了使组织有信心在确保重要技术基础结构安全的同时可以迁移到云，需要一种可靠的策略。

 

云环境已成为网络攻击者的诱人目标，突显了组织增强其现有安全措施的迫切需求。然而，由于云环境的多样性和扩展性，始终如一地实施云安全性的基础可能是一项复杂的任务。

 

这只是组织安全使用云服务需要克服的诸多挑战之一。组织不能仅依靠CSP来保护其关键信息资产，而必须承担自己的责任。这项职责要求将良好的治理，部署核心控制以及采用有效的安全产品和服务相结合。涵盖网络安全，访问管理，数据保护，安全配置和安全监视的控件对于信息安全从业人员而言并不是新事物，但它们对于安全使用云服务至关重要。

 

展望未来，组织可以从各种趋势和技术中进行选择，这些趋势和技术将使他们能够安全地使用云服务-从采用新产品到嵌入改进的流程（例如专注于安全容器），在开发过程中更加强调安全性。

 

确保安全地使用服务将为业务领导者提供充分拥抱云所需的信心，从而更大程度地发挥云的潜力并推动组织迈向未来。

 

（编译自cloudcomputing-news：cyber and cloud overcoming key security challenges amid multi cloud rise）