【51CTO.com快譯】AWS長期統治著云業務領域，但考慮到愈發復雜的具體業務需求(包括管理風險與成本等因素)，企業客戶通常有必要同時選擇多家云服務供應商。另外，多家云服務商相配合往往能夠帶來最理想的整體云成本水平。

但在運行多云環境并享受相關優勢的同時，我們也有必要采取適當的安全措施以實現保障能力。下面，我們首先從三大公有云巨頭入手，逐步開啟今天的議題。

公有云市場三大巨頭

目前公有云市場由三大巨頭把持，分別為AWS、微軟Azure以及Google Cloud Platform。AWS參與最早且份額最高(達57%)，微軟份額為34%，而谷歌則把持著15%。

運行在多云環境下實現安全保障

[[197760]]

1. 避免Shadow Ops

只有企業內各個部門都認同多云環境帶來的收益，才能真正發揮積極作用。然而，您可能面對著大量分散在AWS、Azure以及谷歌平臺中的實例，并由DevOps團隊負責根據具體情況對其加以使用。

在這種情況下，企業的安全性顯然將受到嚴重影響。根據Gartner在2017年安全與風險管理峰會上得出的結論，到2020年，將有三分之一企業的IT資源遭遇攻擊影響。因此，無論您所在的企業決定選用單一云供應商還是分散式基礎設施，請確保每位成員都了解相關實例以及對應的安全最佳實踐。這是解決Shadow Ops難題并提升整體安全水平的唯一途徑。

2. 優先實現可見性

無論選擇怎樣的云平臺，您都應確保對全部實例擁有可見能力。在理想情況下，您應對具體可見性進行優先級排序，并將其引入工作負載層。

單純依靠基于簽名的監控機制還遠遠不夠，我們應當專注于通過基于行為型監控提升可見能力。具體來講，我們應在全部實例當中引入行為監控手段，以快速發現異常行為。

您的安全解決方案應具備以下能力：

識別不受信的系統修改。

通過用戶及進程行為監控捕捉威脅活動。

立即檢測異常的用戶、進程與文件活動。

只要擁有這樣完善的可見能力，那么具體使用AWS、Azure或是谷歌云將不再重要——您仍能夠保障運行安全。

3. 遵循最佳實踐

每種云平臺都擁有自己的最佳實踐。因此如果您計劃在多種平臺上運行實例，請確保遵循與之對應的最佳實踐。盡管三大巨頭皆提供有所差別的最佳實踐清單，但其中仍存在著一些普適性的標準：

隨時了解您的環境內正在發生什么。

設置警報(按嚴重性排序)以通知您與策略相沖突的行為。

滿足并高于合規性要求。

保持良好習慣：及時更新并安裝補丁。

云服務供應商進行最佳實踐共享的作法值得提倡，因為他們比任何人都更了解自己的技術方案，有責任教育并支持客戶。

4. 關注自動化

人總是會犯錯，Gartner認為到2020年，95%的云安全事故都源自客戶的錯誤。在安全方面，人為錯誤可能引發各類風險，而依靠機器自動執行常規重復性任務則能夠有效提升安全水平——特別是在多云環境當中。

我們建議您利用自動化方案進行安全設計，具體指導方針包括：

更新您的云治理規則。

了解共同責任模式。

采取持續性風險治理方法。

云環境能夠幫助您的DevOps團隊實現工作提速，并憑借著持續集成與持續開發周期帶來顯著的競爭優勢。然而，云環境同樣有可能引發風險，因此您必須利用自動化方案有效管理一切安全最佳實踐，進而將出現錯誤的可能性控制在最低水平。

5. 堅持共同責任模式

最后，請確保充分理解共同責任模式。具體來講，盡管AWS、谷歌與微軟肩負著保護云環境自身的責任，但作為客戶的您則需要保證您的應用程序、數據以及其它存在于云環境內的系統得到充分保護。如果有人在無需權限的情況下登錄生產環境并引發風險，那么這部分責任將完全由您承擔。因此，請確保充分理解這種新的責任分攤方式，并堅持加以貫徹。

結語

毫無疑問，我們能夠看到越來越多的企業立足云平臺進行市場競爭，令人非常振奮。而且雖然AWS擁有明顯優勢，但多元化的云服務選項讓企業客戶迎來更加豐富的解決方案思路。

只要您始終高度關注安全最佳實踐，同時采取措施以確保云環境的可見性，那么您將能夠全面享受公有云帶來的優勢，且不會因任何潛在安全缺陷而導致業務受損。

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】