如何保护公有云与私有云资料？带你看混合云安全性的原则及三大优势

混合云安全 是指为保护公共云和私有云环境中的数据、应用程序和基础设施而设计的策略、技术和操作实践。

这种方法通过整合身份和访问管理 (IAM)、加密、网络分段和持续监控，确保安全控制的应用始终如一，无论资产位于何处。

架构良好的混合云安全框架可帮助企业在动态、多平台环境中管理风险，在支持合规性和运营弹性的同时适应威胁。

在现实世界的混合部署中，企业将一种基础设施用于主系统和数据，另一种用于备份。如果出现故障，企业可以在两者之间进行切换。

然而，混合环境往往会带来安全盲点。这些盲点可能包括未经验证的应用程序接口、缺乏安全配置的未授权部署以及错误配置。

虽然没有一个环境是完全安全的，但风险可以大大降低。应用经过验证的最佳实践有助于企业加强防御，限制风险。

在混合云环境中，攻击面更大，一个错误配置或薄弱的访问策略就可能导致漏洞。  

就连美国陆军情报与安全部也经历过因配置错误而导致的数据泄露。 

此外还有法规遵从的压力，因为数据存储或共享的地点不同，适用的规则也不同。 

最后，混合设置的分离特性使灾难恢复和故障转移规划变得复杂，因此业务连续性更难管理。

这些环境中的威胁来自技术差距和人为疏忽。 

COVID-19 之后向远程工作和云基础设施的快速转变只会加剧这些风险，因为许多组织在没有充分制定安全框架的情况下进行了过渡。 

要妥善应对这些挑战，我们必须首先了解这些问题。

配置不当仍然是云计算中最常见的问题之一，具体表现为访问控制设置不当、存储暴露或组件过时。 

另一个严重问题是入侵后的横向移动；一旦攻击者渗透到您的基础设施中，他们就会在系统间移动，寻找敏感资产。 

跨越多个平台的混合模式使这类活动更难被发现和阻止。 

最后，内部威胁也是一个真正的风险，尤其是在权限管理不严格的情况下。 

在混合环境中，数据会在内部系统和云平台之间不断移动，因此恶意软件、勒索软件和数据泄露等Cloud威胁会更加严重。 

这种移动扩大了攻击面，给对手提供了更多不被发现的机会。 

现在，勒索软件集团利用人工智能驱动的工具绕过标准防御系统，而数据泄露的破坏性越来越大。 

武器化文件上传也已成为混合云设置中一个日益严重的威胁。  

恶意行为者经常在看似无害的文件中嵌入恶意软件，以绕过安全过滤器，在不被发现的情况下发送有效载荷。  

技术，如 Deep CDR(内容解除和重构）等技术可以在恶意代码造成任何破坏之前将其从文件中清除，从而消除这些威胁。 

混合设置还可能模糊责任界限，导致访问控制或打补丁方面的薄弱环节。 

混合设置内的平台可能受不同法律的管辖，这些法律规定了数据应存储在哪里以及应如何处理。

COVID-19 大流行加速了混合云应用的增长，使安全变得比以往任何时候都更加重要。

各组织迅速转向远程工作和云基础设施，但许多组织并没有为这种分布式、多平台环境制定适当的安全框架。云应用的增加为攻击者创造了更多的切入点，并使合规管理变得更加复杂。

在这样一个多样化的系统中，要使您的流程符合 GDPR 等监管要求是一件非常困难的事情，因为 GDPR 规定某些数据必须位于欧盟境内。

考虑到所有风险，混合云安全仍具有强大的优势组合，尤其是与单一云或内部部署系统相比。

混合云安全的一些基本关键原则包括零信任安全（确保默认情况下不信任任何实体）和供应链安全考虑因素。

后者的重点是保护依赖关系和第三方软件。

为了组织安全实践，许多团队采用了云端安全联盟的(CCM)Cloud 控制矩阵。  

CCM 细分了云的特定控制域，如身份管理、基础设施安全和合规性，并使其与 ISO 和 NIST 等全球标准保持一致。  

它还有助于跨 IaaS、PaaS 和 SaaS 服务模式定义角色和职责，这对混合设置尤其有帮助。 

CSPM 工具通过发现和纠正错误配置，解决了人为错误的风险--这是导致安全问题的主要原因。

混合云既是一个强大的推动力，也是一个独特的风险环境。 

在这种情况下，混合云安全框架需要一种独特的多面方法，其中包含几个关键要素。

IAM 代表了一种访问控制框架，可确保只有正确的个人在正确的时间出于正确的原因访问正确的资源。 

IAM 是混合环境的核心，在混合环境中，身份跨越内部部署和多个云服务。  

在 IAM 框架中，有两种方法非常有效：

• (RBAC) 基于角色的访问控制
• (PAM) 特权访问管理

RBAC 根据用户在组织中的角色分配权限，限制用户可以访问或执行的数据和操作。角色通常基于工作职能（如开发人员、分析师、人力资源部门），每个角色都有一套预定义的访问权限。

这种方法执行最小权限原则，确保用户只能访问他们需要的内容。此外，这种方法还通过合理安排访问权限，有助于管理和合规。

与只根据工作职能分配权限的 RBAC 不同，PAM 用于保护和管理对特权账户的访问，即那些具有管理权限或访问关键系统的账户。

在混合设置中，PAM 对于确保基础架构管理层（如域控制器、云管理门户）的安全和控制对云管理控制台（如 AWS 根目录、Azure 全局管理员）的访问至关重要。

SOC 是一个集中式单位，负责监控、检测、响应和缓解安全威胁。 

该部门利用人员、流程和技术来协调威胁检测和响应，并进行全天候监控。

CASB 是云服务消费者（组织）和提供商之间的安全策略执行点。

在 CASB 中，组织要对其上传的内容以及与云的交互方式负责，即使他们并不运行基础设施。

CASB 有助于检测和管理影子 IT、数据移动和用户行为，让 IT 部门了解正在使用的未经授权的工具。

对于混合基础架构，CASB 可以实现统一治理。这样，当数据转移到云时，内部的安全性和合规性就不会受到影响。

在混合设置中，安全架构师需要一套可在云和内部系统中无缝实施的工具、实践和策略。

CSPM 是自动评估和管理云配置的工具。其目的是检测云环境中的错误配置、合规性违规和风险设置。 

它们对混合云尤其有用，因为这些设置是动态和复杂的，会在公共云和内部环境之间频繁变化。

与其说这是一种工具，不如说是一种流程，指的是持续收集和分析日志、指标和安全事件，以检测威胁。 

要使其发挥作用，监测工作必须与调查和应对事件的明确流程相结合。 

在混合环境中，该流程可对分散的设备或软件（如云原生应用程序、SaaS、内部部署防火墙、服务器和端点）提供统一的威胁视图。

最后，我们还可以使用工具和脚本来自动执行安全策略。这些策略可以是禁用不符合要求的资源、执行加密或阻止未经批准的服务。 

自动执行功能可确保安全规则与工作负载一起运行，无论其是否着陆。

除了所有工具和策略外，混合云安全框架还建立在操作策略上，例如

说到保护混合云基础设施，挑战并不在于所使用的技术，而在于所有环境的协调性和一致性。

就其本质而言，混合云基础设施受多种工具、策略和控制的管理。

这就迫使安全团队使用多个平台，从而增加了错误配置的风险。

此外，如果一个系统发生变化，它不会自动与其他系统同步。这就导致了更多的疏忽风险。

混合设置的多样性还导致无法深入了解谁在访问什么、数据存放在哪里以及所有环境中的资源是如何配置的。

分散的数据可能隐藏重大风险。

要应对这些挑战，就必须制定战略，从战略上管理复杂性，减少攻击面，并确保对内部部署和云环境实施一致的控制。

这样做的目的是在所有环境中创建一套共享规则，从而避免因每个设置的复杂性而纠结。 

企业可以部署一个身份系统，管理谁可以登录以及他们可以访问哪些内容。  

Azure AD 或 Okta 等工具支持单点登录和多因素身份验证。 

另一个想法是为密码规则、网络规则和加密要求等可重复需求建立策略模板。 

最后，所有安全策略都需要符合 GDPR、HIPAA 或ISO 27001等外部标准，以随时准备接受审核。

如果每个团队在不同的工具中查看不同的数据，攻击可能会被忽视。

为避免盲点，企业应使用 SIEM 或 SOAR 工具将日志和警报收集到一个地方，同时使用跨系统的端点工具。

如果团队有一个单一的仪表板，显示所有系统的重要警报，也会有所帮助。这有助于安全专业人员更快地做出反应并发现模式。