多云安全要以架構(gòu)和治理為重點(diǎn)

富士通公司荷蘭分公司多云和應(yīng)用程序服務(wù)總監(jiān)、企業(yè)安全架構(gòu)師Jeroen Mulder對組織采用的多云安全架構(gòu)規(guī)劃為什么應(yīng)該從業(yè)務(wù)和客戶的角度出發(fā)進(jìn)行了解釋和分析。他認(rèn)為，建立多云環(huán)境就像使用新的智能手機(jī)一樣需要重新配置。

他說：“當(dāng)我從包裝盒中取出新手機(jī)時，它幾乎無法使用。要使其功能正常，首先必須將其連接到互聯(lián)網(wǎng)。然后需要下載應(yīng)用程序，并且需要數(shù)據(jù)（例如聯(lián)系人或照片）以使其應(yīng)用實(shí)現(xiàn)個性化。最后，啟用面部識別和其他功能，并采取措施確保除本人之外的人員都不能使用它。”

Mulder表示，多云的概念也是如此。在多個平臺上運(yùn)行復(fù)雜的環(huán)境需要一種綜合的策略來處理連接性、應(yīng)用程序、數(shù)據(jù)存儲和安全性。

在其撰寫的名為《多云架構(gòu)和治理》的著作中，Mulder闡述了企業(yè)架構(gòu)知識對于構(gòu)建基于業(yè)務(wù)目標(biāo)的多云戰(zhàn)略的重要性，以及它屬于安全戰(zhàn)略的原因。

Mulder詳細(xì)介紹了作為企業(yè)架構(gòu)師將如何影響安全方法，并為云計(jì)算和安全專業(yè)人員提供了職業(yè)策略的建議。他接受了行業(yè)媒體的采訪，并對提出的問題進(jìn)行了解答。

您為什么撰寫有關(guān)多云架構(gòu)及其治理的書籍？

Mulder：應(yīng)用程序是云計(jì)算基礎(chǔ)設(shè)施的基礎(chǔ)。但目前很少有書籍描述如何在AWS、Azure或谷歌云平臺進(jìn)行設(shè)置，對于如何使用不同的云平臺也很少描述。所以我決定自己編寫一本。

我首先從技術(shù)基礎(chǔ)對全球三個主要的公共云進(jìn)行比較。我要從企業(yè)架構(gòu)師的角度進(jìn)行思考，這導(dǎo)致我編寫的這本書的第一部分專注于多云治理和架構(gòu)。而在考慮安全技術(shù)之前，需要考慮業(yè)務(wù)角度和架構(gòu)框架，因此規(guī)劃多云策略至關(guān)重要。

人們關(guān)于多云安全最常見的誤解是什么？

Mulder：很多公司仍然認(rèn)為，一旦他們進(jìn)入混合云、公共云的或多云的運(yùn)營環(huán)境，他們的工作負(fù)載就會受到默認(rèn)保護(hù)，顯然不是這樣。這些云平臺所做的唯一一件事就是提供一個工具箱，用戶可以用它保護(hù)運(yùn)營環(huán)境。這與組織在傳統(tǒng)基礎(chǔ)設(shè)施中確保工作負(fù)載安全沒有什么不同。

組織不要認(rèn)為能夠阻止網(wǎng)絡(luò)攻擊者進(jìn)入其系統(tǒng)。但是，當(dāng)考慮應(yīng)對不可避免的攻擊時，組織可以計(jì)劃如何響應(yīng)以及如何保護(hù)運(yùn)營范圍內(nèi)的資產(chǎn)。例如可以采取適當(dāng)?shù)拇胧?，一旦?shù)據(jù)落入攻擊者手中，就會使其無法使用。

在多云環(huán)境中，保護(hù)外圍設(shè)備的資產(chǎn)尤為重要，因?yàn)榻M織并不總是完全了解資產(chǎn)。許多客戶并不知道他們的服務(wù)在世界各地運(yùn)行。這是因?yàn)樵破脚_遍布全球，不再是組織的內(nèi)部部署數(shù)據(jù)中心。

企業(yè)如何解決和防止云蔓延？

Mulder：云蔓延增加了安全性的復(fù)雜性。為了防止蔓延，組織的最佳實(shí)踐是將所有內(nèi)容盡可能地放在一個堆棧中，但在多云的世界中不可能做到這一點(diǎn)。以智能手機(jī)為例：當(dāng)人們打開手機(jī)時，正在使用許多不同的應(yīng)用程序，而這些應(yīng)用程序來自Google、Apple、Microsoft以及來自世界各地的其他應(yīng)用程序，而確保它們的安全性取決于使用者。確保安全是唯一可以訪問手機(jī)的用戶的責(zé)任，例如啟用Face ID身份驗(yàn)證。

多云安全最佳實(shí)踐首先需要對資產(chǎn)和身份進(jìn)行清查，知道誰以及為什么在組織的系統(tǒng)中。需要注意的是，標(biāo)識可以應(yīng)用于收集數(shù)據(jù)甚至軟件的服務(wù)、應(yīng)用程序、API。當(dāng)組織將這些視為身份驗(yàn)證因素時，更容易想到保護(hù)數(shù)據(jù)和應(yīng)用程序的方法。

企業(yè)架構(gòu)師培訓(xùn)如何影響組織的多云安全方法？

Mulder：組織需要學(xué)習(xí)如何構(gòu)建企業(yè)架構(gòu)，因?yàn)槎嘣瓢踩粌H僅是技術(shù)問題。構(gòu)建防火墻是一條安全的捷徑，但安全性并非始于防火墻，而是始于治理。需要回答一系列問題，例如，誰有資格進(jìn)入什么系統(tǒng)？需要在哪里保護(hù)系統(tǒng)，在什么級別進(jìn)行保護(hù)？為什么？在進(jìn)行治理之后，還要考慮數(shù)據(jù)，然后是應(yīng)用程序，最后是技術(shù)。企業(yè)架構(gòu)關(guān)注全局，并確定技術(shù)是否以及如何為組織增加價值。

組織可以在云計(jì)算環(huán)境中的任何部分構(gòu)建更強(qiáng)大的虛擬防火墻，以確保安全，但是這樣做可能會使它完全無法使用。組織必須在安全性和可用性之間保持平衡。

在多云環(huán)境中工作時，哪些非技術(shù)技能很重要？

Mulder：從治理的角度而言，耐心聽取客戶的意見很重要。需要了解信譽(yù)是組織與客戶建立關(guān)系的原因，所以要自信但不要傲慢。需要能夠冷靜地解釋事情，并隨時準(zhǔn)備采納新的觀點(diǎn)。

在編寫《多云架構(gòu)和治理》這本書的過程中，學(xué)到了什么令人感興趣的事情？

Mulder：我使用和研究了三個主要云平臺——AWS、Azure、GCP。有趣的是，各個云平臺之間存在一些相似之處，也有一些方面完全不同的。在編寫本書之前，我很了解AWS和Azure，但是谷歌云平臺（GCP）對我來說是新事物。

打開谷歌云平臺是從云計(jì)算控制臺開始，而不是腳本或PowerShell開始。這很費(fèi)時，但為了撰寫這本書，我不得不從控制臺執(zhí)行所有操作。在起初，我覺得自己回到了10年前，當(dāng)時采用Unix重新編程。但令我驚訝的是它的強(qiáng)大功能。我可以在谷歌云平臺里做一些我從未想象過的事情，這對我來說是一個重大發(fā)現(xiàn)。

使用多云環(huán)境的安全架構(gòu)師應(yīng)該獲得哪些認(rèn)證？

Mulder：毫無疑問，開放組架構(gòu)框架（TOGAF）應(yīng)該是其中之一。建議安全架構(gòu)師應(yīng)該獲得TOGAF認(rèn)證以及安全認(rèn)證。

如果組織正在進(jìn)入云端，那么從哪里開始并不重要?？梢詮腁Z-900：Azure基礎(chǔ)知識或AWS基本認(rèn)證開始。所有云采用框架都涵蓋身份、安全性、成本管理和治理。無論對于AWS還是Azure或谷歌云平臺，云計(jì)算基礎(chǔ)課程的唯一區(qū)別在于技術(shù)。它們看起來可能有所不同，但是學(xué)習(xí)通用的公共云概念可以使組織在任何一個云計(jì)算環(huán)境中工作。
責(zé)任編輯：YYX