對于中型和大型企業(yè)而言，多云環(huán)境現(xiàn)已成為標準配置，技術領導者選擇使用多個云服務提供商以獲得更高的靈活性、彈性以及運營在多個云中帶來的額外優(yōu)勢。

然而，多云方法也帶來了挑戰(zhàn)，特別是在安全方面。

事實上，根據(jù)Check Point軟件技術公司發(fā)布的《2025年云安全報告》，CISO將管理多云和混合云列為企業(yè)面臨的最大網(wǎng)絡安全挑戰(zhàn)之一，該挑戰(zhàn)在報告中排名第三，僅次于保護高價值資產(chǎn)和知識產(chǎn)權以及增強威脅可見性和檢測能力。

不過，保障多云環(huán)境的安全并非單一挑戰(zhàn)，而是一系列挑戰(zhàn)。以下是CISO及其團隊在這一領域面臨的最顯著的五大挑戰(zhàn)。

1. 實現(xiàn)所有云的充分可見性

這一挑戰(zhàn)在眾多安全領導者中位居首位。

經(jīng)驗豐富的CISO承認，長期以來，無論是在本地還是全部在云端，獲取準確且完整的IT環(huán)境視圖都是一項艱巨的任務，但他們強調，在橫跨多個云服務提供商的環(huán)境中，這項任務變得更加復雜和困難。

這種蔓延使得CISO更難以“確信他們正在全面審視整個環(huán)境，正在尋找所有正確的事物，并且沒有遺漏任何安全環(huán)節(jié)。”Protiviti咨詢公司全球基礎設施、云和安全工程實踐負責人Randy Armknecht說道。

當然，CISO對其所有云部署都有一定的可見性。實際上，他們可能對其中一個云環(huán)境(通常是企業(yè)首次采用的云)具有極高的可見性，因為他們在首次遷移到該云時投入了大量資源來培訓團隊使用該提供商的可觀測性工具。

然而，隨著企業(yè)擴展到其他云設置，CISO經(jīng)常缺乏資源(時間、技能和工具)來擴展這種可見性，Armknecht說。

而且，即使CISO及其團隊對每個云服務提供商提供的可觀測性工具非常熟悉，他們通常仍然難以管理來自這些多個工具的信息，他補充道。

“大多數(shù)安全從業(yè)者在一個云中比在其他云中更得心應手，他們可能對其中一個云感覺非常好，但對其他云卻沒有同樣的信心。”Armknecht解釋道。

技術進步正在幫助CISO克服這一挑戰(zhàn)。Armknecht指出了諸如云原生應用保護平臺(CNAPP)等提供多云可觀測性的工具。

他認為使用這些工具是必要的。“我主張盡快實現(xiàn)全面可見性，我可不想在會議桌上被問及為什么我們不知道導致泄露的問題。”他說。

2. 平衡統(tǒng)一安全程序的簡便性與特定于提供商的方法的優(yōu)勢

一些CISO選擇為其整個云環(huán)境實施單一安全程序，而另一些則采取特定于云的方法。每種策略都有其優(yōu)缺點，IANS研究機構教員兼公共部門CISO Wolfgang Goerlich說道。

“如果你對所有云都一視同仁，如果你有一個統(tǒng)一的安全程序，那就意味著你沒有使用原生安全工具，也沒有從每個云中發(fā)掘出價值，而且，并非所有解決方案都能從每個云服務提供商準確地拉取數(shù)據(jù)，也并非所有應用都能像原生工具那樣精細，”他解釋道，“但如果你采用原生方法，如果你深入每個云，你就會增加更多技術，并且可能沒有團隊能夠跨不同云工作，因此你在流程、人員和技術方面會面臨更多挑戰(zhàn)。”

Goerlich并沒有將一種選項列為優(yōu)于另一種，而是強調了在制定企業(yè)安全計劃時需要權衡每種選項的利弊。

“這全在于權衡，”他說，“你可以按云企業(yè)團隊以從原生能力中獲取更多價值，或者讓你的團隊對每個云都有足夠的了解以實施變革，或者采取更高層次的方法而不使用原生工具。”

3. 缺乏保障多個云安全所需的廣泛而深入的技能

保障多云環(huán)境的安全所需的技能比保障單一環(huán)境的安全所需的技能更多——這一要求給已經(jīng)在努力跟上保護現(xiàn)代企業(yè)所需的所有技能的CISO帶來了更多壓力。

此外，團隊所具備的技能往往分布不均。

“大多數(shù)公司傾向于一個云，他們的技能也集中在那個云服務提供商上，但這意味著他們缺乏其他云服務提供商的技能。”IANS研究機構教員兼Bedrock Security首席安全官George Gerchow說道。

例如，一個擅長從AWS收集日志的團隊可能沒有自信在Azure中處理同樣的任務，反之亦然，他說。“即使從高級層面來看，不同云服務提供商的日志本身也不同。如何攝入所有正確的日志以進行安全調查以及如何發(fā)現(xiàn)安全漏洞也是不同的。”Gerchow解釋道。

制定一個考慮周全的安全策略以平衡統(tǒng)一安全程序的簡便性與特定于提供商的方法的優(yōu)勢(挑戰(zhàn)2)可以幫助確定所需的技能。

然后，CISO需要一個扎實的培訓計劃以確保員工具備在多云環(huán)境中以及與每個云服務提供商成功執(zhí)行策略所需的技能，Gerchow說。換句話說，CISO必須投入足夠的資源來培訓員工，使其能夠在企業(yè)使用的每個云中有效工作。

4. 正確配置

在任何環(huán)境中正確配置都是一項艱巨的任務，但安全領導者表示，多云環(huán)境的規(guī)模和范圍使得這項任務變得極具挑戰(zhàn)性，Gerchow說。這是因為每個云服務提供商都有自己的一套服務、API和管理界面，以及自己的管理配置規(guī)則和系統(tǒng)。

綜合考慮，這給安全團隊帶來了更多壓力，他們不僅必須學習和掌握所有特定于云的工具和技術，還必須跟蹤哪些工具和技術適用于哪個云服務提供商，以確保他們不會犯配置錯誤。

錯誤很常見：Check Point的《2024年云安全報告》發(fā)現(xiàn)，在經(jīng)歷公共云安全事件的受訪者中，有23%將原因歸咎于配置錯誤。常見的配置錯誤包括過于寬松的訪問控制、暴露的存儲桶、未加密的數(shù)據(jù)和不足的網(wǎng)絡分段——所有這些都可能導致數(shù)據(jù)泄露和未經(jīng)授權的訪問。

5. 正確進行身份和訪問管理

CISO在多云環(huán)境中面臨類似的身份和訪問管理(IAM)挑戰(zhàn)，Microsoft負責金融服務與州政府網(wǎng)絡安全顧問的前康涅狄格州CISO Jeffrey Brown說道。

需要明確的是，CISO在本地和單一云環(huán)境中也面臨IAM挑戰(zhàn)，但他們在多云環(huán)境中正確進行IAM面臨的挑戰(zhàn)更多，因為他們必須跨不同云服務提供商工作，每個提供商都有自己的IAM系統(tǒng)、運營模型、政策和程序，而且，他們必須為每個云管理用戶身份、角色和訪問控制機制。

所有這些都給CISO帶來了更多需要跟蹤和管理的內容。

此外，多云環(huán)境還有更多需要跨多個云管理的非人類實體(如API和服務)，這進一步增加了多云環(huán)境中IAM的復雜性和規(guī)模。

當然，每個身份都必須在其生命周期內進行管理——這進一步加大了挑戰(zhàn)的規(guī)模。所有這些都可能導致——并且經(jīng)常導致——政策不一致以及訪問控制的監(jiān)控和執(zhí)行不一致。

這一挑戰(zhàn)如此重大，以至于Brown將身份和訪問管理列為安全團隊在多云環(huán)境中面臨的首要挑戰(zhàn)，然而，這并不是一個不可克服的問題，他說。

“如果你沒有一個正式的程序，那就將其正式化。你需要指定一名高管來負責該程序，無論是你作為CISO還是其他人。不能沒有人負責，”他說。實施“強認證措施以及一個全面、統(tǒng)一的策略”。

CISO如果在這方面遇到困難，應該從小處著手，他補充道，重點關注特權用戶，這些用戶比標準用戶擁有對企業(yè)系統(tǒng)和數(shù)據(jù)的更高層級訪問權限，因此由于這種更高層級的訪問權限，他們更經(jīng)常成為黑客的目標。