對于任何企業而言，無論其規模大小，確保多云環境的安全性都是一項挑戰，幸運的是，一些相對簡單的技術和常識性的安全實踐就能在很大程度上抵御攻擊者，確保多云環境更加安全且具有彈性。

為了在不影響企業安全性的前提下充分利用多云環境的價值，請考慮以下八大建議：

1.建立集中化的安全機構

安全最終是一項共享責任，安全服務公司Security Compass的首席產品官Trevor Young表示。“盡管如此，多云安全的管理和戰略方向最好由一個集中化的安全團隊或企業內的專職人員來負責。”

無論是團隊還是專職人員，這個角色都將負責定義整體安全策略、建立一致的政策和標準、選擇和管理跨云安全工具，并確保所有云環境中的合規性。“他們將作為協調者，與各個應用團隊和云所有者緊密合作。”Young說。

2. 創建統一的安全治理

應建立一個統一的安全治理模型，涵蓋所有云環境，并由集中化的身份管理、可見性、自動化和策略執行來支持，安全服務公司NCC Group的總監兼高級顧問Nigel Gibbons建議道。

Gibbons表示，這種方法通過在所有云提供商之間創建一致的安全控制來最小化復雜性和孤立性。“它減少了盲點，通過集中化身份(如Microsoft Entra ID或Okta)實施最小權限原則，實現了實時威脅檢測，并通過應用相同的標準簡化了合規性，無論云平臺如何。”他說。

一個由CISO或云安全架構師領導的集中化云安全團隊或云卓越中心(CCoE)應處理所有安全方面的問題，Gibbons說。“他們應與DevOps、平臺和合規團隊協調，以執行一致的政策并監督所有環境中的風險。”他表示。

3. 擴大你的范圍

單云安全通常只關注該提供商提供的特定安全工具和服務，Security Compass的Young說。“隨著時間的推移，你會對它們的生態系統非常熟悉。”

Young指出，多云安全增加了處理不同提供商的額外復雜性，每個提供商都有自己獨特的安全模型、服務和術語。“你不能僅僅依賴一個云提供商的原生工具，并期望它能覆蓋所有方面。”他說。多云環境需要一個更廣泛、更與供應商無關的策略。

許多企業在沒有統一策略的情況下采用了每個提供商的原生安全工具，Young說，這種方法可能導致政策不一致、覆蓋范圍有缺口以及難以跨云關聯安全事件。“這就像有不同的安全人員誰也不交流，卻保護著同一棟建筑的不同部分——漏洞是肯定會存在的。”他說。

4. 構建統一的信任邊界

建議不要從云的角度思考，安全軟件和服務公司XYPRO的CISO Steve Tcherchian說。“將所有環境——無論是AWS、Azure、本地部署還是遺留大型機——都視為一個統一信任邊界的一部分。”他建議道。圍繞身份、數據流和上下文構建控制，而不是平臺。“一旦你按云來設計安全，你就已經分割了控制，并且你將很難跟上。”他說。

統一的信任邊界將安全錨定在常量上——用戶、數據和意圖，Tcherchian說。“云只是管道，”他表示，“癡迷于云原生工具的CISO和安全團隊往往事后才補救解決方案。”

5. 分擔責任

“多云安全應該是CISO、云架構師、DevOps和安全工程團隊之間的共同責任，”威脅情報和安全運營提供商SOCRadar的CISO Ensar Seker說，“但最終的責任應落在CISO身上，他必須確保安全政策與技術無關、一致執行，并與業務風險承受能力保持一致。”他建議道。

“打破團隊之間的壁壘并確保跨云可見性集中在一個統一的SecOps功能下至關重要。”他補充道。

多云不僅僅是一種技術策略。“它是一種業務彈性策略，其安全態勢必須反映這一事實，”Seker說，“企業應投資于反映跨云攻擊模式的云威脅情報，并部署運行時監控和策略漂移檢測以保持持續保證，”他說，“在當今的環境中，沒有統一安全性的云蔓延不僅是一種風險，更是一種責任。”

6. 建立協作的管理環境

有效的安全管理需要安全團隊與其他關鍵利益相關者之間的協作參與，Centric Consulting的安全服務總監Brandyn Fisher說。強大的協作確保所有安全措施將有效地與并支持更廣泛的業務目標保持一致。

Fisher說，根據企業的企業結構和復雜性，協作通常包括解決方案架構師、云專家和系統管理員。“最有效的方法是建立明確的責任分工。”他指出。

通常，安全團隊定義要求和治理框架，而實施則由一個專門的技術團隊來完成。“這種平衡的方法保持了明確的所有權，同時促進了跨多個云環境進行全面安全管理所需的跨職能協作。”他說。

隨著云技術的快速發展，很容易變得自滿，Fisher觀察到。“保持警惕和積極主動至關重要，這意味著要通過行業會議、培訓機會和積極參與專業社區來不斷發展團隊技能。”他說。

7. 考慮統一的檢測和響應策略

一個跨所有云環境運行的統一威脅中心檢測和響應策略是抵御甚至最狡猾攻擊者的有效方法，網絡安全平臺提供商Intezer的現場CISO Mitchem Boles說。“通過將AWS、Azure、Google Cloud Platform和其他提供商的警報和行為關聯到一個集中化系統中，安全團隊可以專注于真正的威脅，而不是與警報疲勞作斗爭。”他說。

Boles認為這種方法非常有效，因為它通過行為關聯和自動化來突破云原生警報的泛濫，并快速識別真正的威脅。“它使團隊能夠更快地響應，同時減少在復雜環境中進行手動分類的工作量。”他指出。

多云安全需要跨提供商管理不一致的工具、日志和身份模型，這引入了潛在的盲點，Boles說。“與單云設置不同，多云需要一個統一的視圖來確保所有平臺上的可見性、策略執行和分類。”他說。

8. 控制云訪問

“關鍵在于縮小攻擊面，”數字工作區提供商Kasm Technologies的首席技術傳教士Jaymes David說。“通過限制對云資源的訪問，使用短期、隔離的會話，你將減少惡意軟件滯留或有人闖入不應進入區域的機會，”他說，“添加會話記錄、SIEM集成、數據泄露防護(DLP)，甚至水印，你將擁有一個可追蹤、可執行且可審計的強大安全故事。”他表示。

Bad actors(惡意攻擊者)并不關心你使用的是一個云還是五個云，David說。“然而，從操作角度來看，多云確實增加了復雜性。”他建議道。關鍵挑戰是在所有平臺上一致地管理策略執行。“諷刺的是，我認為如果你過度依賴單云且沒有構建彈性，那么單云設置可能更危險。”他說。