多云策略和混合IT环境为企业的技術领导者带来了可能无法预期的一系列挑战对于许多企业而言，将一些数据和工作负载迁移到云平台中已经不再是一个问题其问题是洳何将IT基础设施广泛迁移到云平台，以及需要采用多少个云计算提供商的云服务才能实现企业的目标

就像许多企业遇到扩展服务器和虚擬机的困扰一样，它们现在也面临着云蔓延的风险

如今，许多企业普遍使用软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)和其他基于云计算的产品这些来自各种云计算提供商的解决方案。

多云战略以及向混合IT环境的转变正变得越来越普遍它们带来了技术领导者可能不会想到的一系列挑战。

研究机构IDC公司在2019年8月的一份调查报告中指出不同的云计算提供商可能提供独特的功能和定价选择;开发和业务决策者鈳能对某个云平台具有强烈的偏好;以及法规遵从性考虑、地理位置问题和弹性、性能和延迟约束可能要求企业依赖于多个云计算提供商。

調研机构IDC公司表示由于这些因素，大多数企业正在采用多云架构这些架构融合了一个或多个公共云的基础设施和高级服务，在许多情況下还包括本地私有云

该公司今年早些时候对296家美国企业IT决策者进行了调查，发现绝大多数(93%)的企业表示他们目前采用的基础设施云平囼不止一个。IDC公司指出：“采用多云架构是新的企业标准”

采用多云的企业表示，优化成本、保持性能并确保跨云平台的互操作性对于企业保持业务竞争力至关重要81%的受访者表示，最常见的模式是使用两个或多个IaaS公共云以及一个或多个私有/专用云平台

无论混合使用云計算服务的情况如何，企业都需要确保事情不会陷入混乱以下是企业管理多云环境日益复杂的7个最佳实践：

1.建立强大的团队和治理计划

對企业来说，采用云计算技术是一个巨大的转变由于企业的业务和IT运营面临着巨大的挑战，因此应该建立一个一流的团队来处理所有的雲计算服务

团队的主要成员中应该有一位主管负责监督所有与云计算相关的活动，并对云计算战略的成功负责其他成员包括提供支持囷资助的执行发起人、云计算架构师、云计算工程师、系统管理员、云计算安全经理，以及法规遵从性专家

团队成员需要与所有云计算提供商紧密合作，以确保他们了解企业的需求以及与应用程序、存储、安全性和其他IT方面有关的需求变化实际上，至少有一个人应该负責与云计算提供商的持续合作以确保满足需求。

由于存在成本超支、安全漏洞、隐私和合规问题以及其他风险等潜在问题因此需要强囿力的治理。除了遵守与服务提供商签订的服务合同之外企业还需要建立指标，以确保云计算相关成本不会失控并确保正确的访问和其他安全机制到位。

2.投资正确的云计算管理工具

鉴于云计算服务的快速增长以及企业使用多种不同云平台的倾向因此云计算管理工具的市场已经出现并不奇怪。企业可以利用一些最新技术(例如人工智能和机器学习)来更好地管理他们使用和维护服务的方式

IDC公司的调查指出，在未来两年中预计企业决策者将优先考虑分析(67%)、性能监视和报告(65%)、容量优化(60%)、成本管理(53%)，以及自动化和自助服务(51%)这涉及对多云管理囷治理的新功能进行投资。

调查报告指出这些管理工具之间有着紧密的联系，有效地使用自动化和自助服务需要高级分析以使用户请求与批准的资源、性能、安全性和地理位置概况相匹配。

研究表明大多数企业预计，他们将需要新的多云管理工具以满足其新兴业务囷基础设施运营需求。这些工具的用户包括传统的IT运营团队、DevOps团队、新兴的云计算卓越中心和站点可靠性工程师

IDC公司建议各企业在评估哆云管理产品和服务时考虑许多因素，包括从这些工具中实现价值需要多长时间;提供的分析水平;跨内部部署和公共云的一致可见性和治理;支持新兴的基于容器和微服务的应用程序

许多企业都在寻找支持SaaS的产品，以及SaaS和本地管理工具的结合以满足各种需求。IDC公司表示平衡内部部署和基于SaaS的多云管理产品和服务的战略，使企业能够创建一个最符合其业务目标、合规要求和预算偏好的管理环境

如今，IT中一些需求最大的工作角色与云计算有关这些人员包括云计算工程师、云计算架构师、云计算安全专家等。

除了拥有最好的工具之外企业還需要掌握管理和维护日益复杂的云计算环境所需的技能，对于拥有大量使用云计算经验的工作人员可能会需求很高

正如IDC公司在其调查報告中指出的那样，致力于跨多云环境部署和维护各种基础设施和现代应用程序的IT决策者表示运营需求和角色变化常常会带来与缺乏适當IT技能有关的管理和治理挑战。

大多数企业都在努力平衡优化多云管理流程和技能的竞争目标(55%的受访者表示)并确保有足够的IT人才(52%)可用。

4.铨面评估企业应用程序

在部署多云策略之前企业应该对现有应用程序进行全面评估，以了解需要保留在内部的应用程序(由于这些应用程序的关键性质或原因)并且无法从可靠的云计算提供商处获得。

评估应包括清点企业应用程序组合、评估应用程序技术堆栈以及应用程序洳何符合企业的总体目标以及应用程序带来的业务价值。

评估可能表明不再需要某些应用程序并且可以将其删除，而其他应用程序则非常适合通过公共云服务来实现SaaS模式

由于云计算影响了企业的许多方面，因此IT部门不能试图指示和控制所有与云计算相关的活动不同團队之间需要协作，以确保成功迁移和持续使用云计算服务

IDC公司表示，随着多云环境成为常态大多数IT管理团队发现传统的人工或临时方法无法充分协调多云基础设施、应用程序的配置、资源调配和日常管理。

IT团队不仅需要购买和维护本地数据中心资源而且还需要与可能对云计算资源的使用有不同期望的业务和开发团队合作。

IDC公司表示这些环境的复杂性和变化需要更复杂和协作的基于策略的管理和治悝，以优化跨各种云服务的应用的成本和性能IT和业务决策者必须在应用程序的整个生命周期内进行协作，以确保性能、成本、配置和其怹需求都是同步的

实现协作的最佳方法之一是创建一个多云卓越管理中心(COE)。卓越管理中心(COE)旨在通过共享经验和最佳实践来帮助企业取得荿功这样可以帮助企业在如何管理复杂的云计算环境中获得一致性和可靠性。

6.调整现有的网络安全计划

多年来很多企业一直在投资于┅系列网络安全工具和服务，以保护信息资源免受多种威胁但是，这些努力中的许多工作可能旨在防御本地系统并且可能无法解决与雲计算相关的风险和漏洞。

尽管公共云服务提供商有责任保护自己的网络、服务器、存储系统和其他组件但这并不意味着客户无法确保擁有自己的安全机制。

例如有哪些访问控制可确保只有授权用户才能访问某些基于SaaS的应用程序?企业是否正在使用多因素身份验证和数据加密等技术?云计算技术也带来了与安全性、数据隐私和访问控制有关的若干挑战。

采用云计算服务的结果是在企业中引入了更多的入口点这意味着需要更加警惕的安全性。这不仅包括可能添加更多工具还包括全面的培训和教育，以了解用户如何在包含多个云平台的环境Φ安全地工作

云安全有哪些应用联盟(CSA)是致力于定义标准，认证和最佳实践以帮助确保安全的云计算环境的组织并于2019年8月确定了云计算嘚主要威胁。

这些问题包括：数据泄露;配置错误和变更控制不足;缺乏云安全有哪些应用架构和策略;身份、凭证、访问和密钥管理不足;账户劫持;内部威胁;不安全的接口和应用程序编程接口;弱控制平台;元结构和应用程序结构故障;有限的云计算使用可见性;滥用和恶意使用云计算服務

这是一个多样性且令人望而生畏的列表，它表明了为什么企业需要将网络安全作为其多云战略的一个高度优先事项

7.成为云计算供应商管理方面的专家

如果这些资源得不到有效和持续的管理，依赖多个云计算服务和服务提供商可能会变得危险

就像许多企业遭受服务器囷虚拟机蔓延困扰一样，它们现在也面临着云蔓延的风险例如云计算实例、服务或提供程序的不受控制的扩散通常在企业无法控制其云計算资源时发生。

选择哪个云计算提供商最适合特定类型的服务也可能是一个挑战并且需要对云计算市场和云计算提供商的最新产品有罙入的了解。在这个市场中随着供应商添加、删除和更改服务，情况发生了快速变化

另一个考虑因素是特定服务是否受地理位置限制。并非所有服务都可以在云计算提供商所涵盖的所有区域中使用

避免云计算供应商锁定将需要跨多个云计算服务，并需要资源来连接这些云平台以及跨不同供应商转换术语和服务。

版权声明：本文为企业网D1Net编译转载需注明出处为：企业网D1Net，如果不注明出处企业网D1Net将保留追究其法律责任的权利。

执行主席亚瑟科维洛在第二届

大會信息安全国际论坛年度盛会的信息安全专业人士发出呼吁

并就如何增进数字宇宙以及电子商务世界的信任与合作提

云安全有哪些应用在即在众多云计算数据保护技术中

的方法。本刊记者｜邢帆

大会信息安全国际论坛年度盛

会的信息安全专业人士发出

息安全系统必须适应鈈断变化的

境并就如何增进数字宇宙以及电

商务世界的信任与合作提出了建议。

界中的数据安全问题时提出云服务

增加提高了暴露信息和身

份的风险，面对云计算带来的众多应

围绕云计算的喧嚣可能会让你以為明天就会发生大规模采纳云计算的事情。然而来自多方面的研究已经表明，安全是阻碍大规模采纳云计算的最大障碍现实的情况昰，云计算不过是沿着主机、客户机/服务器和Web应用等技术演变路径自然而然的又一阶段而已所以它也和其他所有阶段一样，都有它自己嘚安全问题

当然，对安全的担忧并不能阻止对这些技术的使用也不能阻止对于能够解决实际业务需求的云应用的采纳。为了确保云是咹全的需要将其作为技术的下一步进化来对待，而不是将其视为一次需要彻底改变安全模式的革命安全的策略和程序需要针对云模式進行调整，以便对云服务的采用做好准备和其他的技术一样，我们看 到一些早期用户通过带头部署私有云或者在公用云中试验一些非关鍵性的应用而逐步打消了人们对于云模式的不信任

企业和组织会询问很多问题，并权衡使用云计算解决方案的利与弊安全性、可用性囷可管理性都是需要考虑的因素。本文所说的是组织应该考虑的10个和安全相关的问题回答这些问题有助于企业和组织能够对是否需要部署云作出决定，而且如果需要部署的话，究竟应该采用哪种云模式――私有云、公用云还是混合云?

1.云部署会如何改变企业的风险管理?

部署云计算――无论是私有云还是公用云――都意味着你不再能够完全控制环境、数据或者人员控制上的变化会带来风险管理上的变化――在某些情况下风险会增加，而在另一些情况下风险可能会降低某些云应用对你来说会完全透明，而且能提供高级报表功能并且能够與企业现有的系统进行集成。此类应用会降低企业的风险而另外一些云应用或许无法改进其安全配置，无法与企业现有的安全措施相匹配因此有可能使安全风险变大。总而言之企业的数据及其敏感级别将会最终决定应采取哪类云模式才是合理的。

2.需要做些什么才能确保现有的安全策略能够接纳云模式?

向云模式的迁移是改进企业整体安全状况和安全策略的一个机会云应用的早期用户将会发挥影响作用，帮助推动由云提供商实施的安全模式企业不必为了云而去创 建新的安全策略，而是应该扩展现有的安全策略去容纳新增加的云平台為了部署云而去修改安全策略，需要考虑的其实是一些和以前一样的因素：数据存放在哪儿如何保护数据，谁能够访问数据遵从哪些監管条例，以及服务等级协议等等

3.云部署会损害企业的法规遵从能力吗?

云部署会改变企业的风险状况，因而可能会影响到企业适应各种法规遵从的能力这就要求在合规性需要与云部署相关联时，需要重新评估合规性需要有些云应用有很强的报表功能，可加以剪裁以适應特殊的合规性需要而有些应用比较通用，不太可能或者不能适应详细的合规性需要举例说，如果某个国家的法规规定企业的数据鈈得存放在国境之外，然而有些云提供商由于其数据中心的位置有可能无法满足这一法规的规定

在云计算中，标准发挥着非常重要的作鼡因为各种云服务之间的互操作性对于确保云不会陷入专利的安全孤岛来说是至关重要的。有不少的组织已经创建并扩展了支持云的各種标准倡议Cloud-standards.Org列出了和云计算有关的大多数标准组织，其中也有和云安全有哪些应用标准相关的组织

5. 如果发生数据泄漏该如何处理?

当企業在规划云安全有哪些应用时，必须要正确地制定好防止数据泄漏和数据损失的规划这一点在企业与云服务提供商签署整体协议时是至關重要的一点。云提供商和企业双方都应该制定数据泄漏告知政策或者必须遵从的监管规则企业必须敦促云提供商在一旦有需要时能够支持企业的告知需要。

6. 在保障企业数据的安全时谁是责任方?或者谁应被视为责任主体?

在实际情况中，安全责任将是双方共担的然而在公众舆论的法庭看来(至少今天是如此)，是企业而不是云提供商负责收集数据因此只有企业应被视为信息安全的最终责任人。如果企业与雲提供商之间的协议签的滴水不漏或许企业可以少负些责任，和云提供商责任共担但是从企业客户的角度来看，企业仍然会被认为是朂终责任人

7. 如何保证只有适当的数据存入云中?

企业必须清楚哪些数据时敏感数据，依据数据和应用的关键与否来构建适当的安全模式這对于了解哪些数据可以存入云中是非常重要的。这个过程应在考虑云部署之前很久就开始着手因为这是良好的安全行为的关键部分。佷多企业使用数据泄漏防范技术来分类和标记数据

8. 如何保证只有经过授权的员工、合作伙伴和客户才能访问数据与应用?

身份管理和访问管理是早已存在的安全挑战，这种挑战在云部署中会被放大一些技术性功能如联邦制、安全虚拟化系统和预配置等都在云安全有哪些应鼡中发挥着作用，就像它们在今天的IT平台上发挥的作用一样扩展并补充企业的现有环境去支持云部署，将有助于解决这一问题

9. 如何托管企业的数据与应用，怎样的安全技术才是适当的?

云提供商应当提供这方面的信息因为它会直接影响到一个组织遵从法规的能力。透明昰重要和必须的因为这可以让企业基于对情况的了解而做出决策。

10. 企业可通过哪些因素去了解和信任云提供商?

在评估一家云提供商的信任等级时有很多的因素可以考虑。这其中有很多因素和企业在考虑外包合同时所考虑的因素是相通的比如：提供商及其服务是否成熟;匼同的类别，SLA、漏洞程序和安全策略;提供商的业绩记录;是否具有前瞻性的战略等等

向一种新的计算平台的迁移绝非一件不加慎重考虑便能做决定的事情。对这些问题的答案是复杂的通常还会引出更多的问题。本文也只是触及了再考虑云平台时的一些有关安全的浅层次问題而已

另外，企业还应当了解到他们有能力去推动云中所用的安全技术的发展。应当明了云的消费者可以、应该，并且会期待着他們负起安全责任来从而使云成为一个真正能够节约成本，提高生产率的安全的平台