采用混合云可以加強(qiáng)組織的安全態(tài)勢，而不是削弱。但這并不意味著改進(jìn)的安全性就是一種默認(rèn)設(shè)置。雖然隨著云計算技術(shù)的成熟，directadmin漢化 虛擬主機(jī)，企業(yè)對其安全的擔(dān)憂正在下降，但安全仍然是組織需要面對和管理的持續(xù)挑戰(zhàn)。而混合云環(huán)境帶有其自身特定的安全考慮因素。

國際信息安全學(xué)習(xí)聯(lián)盟（CISA）的注冊信息系統(tǒng)安全專家（CISSP）Christopher Steffen說，“混合云環(huán)境是動態(tài)和復(fù)雜的，由于多個終端用戶從多個地點訪問多個環(huán)境而變得更加復(fù)雜。”Steffen是Cyxtera公司的技術(shù)總監(jiān)，Cyxtera公司最近收購了Steffen之前任職的安全產(chǎn)品提供商Cryptzone公司。

Steffen和其他安全專家討論了企業(yè)的首席信息官及其團(tuán)隊在保護(hù)混合云環(huán)境時必須牢記的關(guān)鍵問題。企業(yè)需要優(yōu)先考慮以下八項關(guān)鍵要素：

1.企業(yè)確保具有完整的可視性

CBI公司戰(zhàn)略計劃副總裁、網(wǎng)絡(luò)安全資深專家J. Wolfgang Goerlich指出，在IT行業(yè)中，很多首席信息官和其他IT領(lǐng)導(dǎo)者經(jīng)常在他們的環(huán)境中存在盲點，或者他們在他們的內(nèi)部部署的基礎(chǔ)設(shè)施的認(rèn)識方面過于狹隘。

既然企業(yè)及其最終用戶可以使用數(shù)百個基于云計算的應(yīng)用程序，并且多個部門可以在基礎(chǔ)設(shè)施即服務(wù)平臺上創(chuàng)建自己的虛擬服務(wù)器，那么跨私有云、公共云和傳統(tǒng)基礎(chǔ)設(shè)施的完整可見性就是必須的。Goerlich說，缺乏可見性會給企業(yè)帶來更大的安全風(fēng)險。

2. 每一個資產(chǎn)都需要擁有者

如果企業(yè)缺乏全方位的可見度，那么有可能缺乏所有權(quán)。企業(yè)的每一個混合云設(shè)施都需要一個擁有者。

Goerlich說：“IT安全的一個關(guān)鍵原則是需要一個擁有者，確認(rèn)每個資產(chǎn)，并讓擁有者負(fù)責(zé)對資產(chǎn)的最小權(quán)限和責(zé)任分工。缺乏可見度會導(dǎo)致缺乏所有權(quán)。這意味著，在通常情況下，混合云環(huán)境具有松散定義的訪問控制，并且往往沒有職責(zé)分離。過度的許可將會帶來風(fēng)險，而沒有擁有者的風(fēng)險是未解決的風(fēng)險。”

3.混合云 嘗試混合安全

IT越來越成為企業(yè)整體業(yè)務(wù)戰(zhàn)略的驅(qū)動力，而不僅僅是服務(wù)企業(yè)，混合云模式已經(jīng)成為推動這一轉(zhuǎn)變的推動者。以類似的方式，現(xiàn)代IT需要重新思考一些舊的安全模式，例如混合安全。

Biscom公司首席執(zhí)行官Bill Ho說，“關(guān)于安全性的戰(zhàn)略不斷發(fā)展，許多企業(yè)正在采用混合方法來為他們的安全基礎(chǔ)設(shè)施建立更多的層次和深度。”企業(yè)的某些安全技術(shù)可能駐留在本地部署的數(shù)據(jù)中心，而另一些則在企業(yè)網(wǎng)絡(luò)之外運行更有意義。

Bill Ho解釋說，“企業(yè)有很多的理由需要內(nèi)部部署安全工具和應(yīng)用程序，例如桌面防病毒、DLP、防火墻以及IDS/IPS系統(tǒng)。”其中一些作為云計算服務(wù)提供，有些則具有云中的組件，而應(yīng)用程序或應(yīng)用程序則在本地部署的數(shù)據(jù)中心中運行。一些服務(wù)最好在云端處理，比如幫助減輕DDoS攻擊的服務(wù)。

4.安全性和合規(guī)性：連接但不一樣

Steffen表示，“企業(yè)可能在沒有合規(guī)的情況下?lián)碛邪踩校侨绻麤]有出現(xiàn)安全問題，那么人們可能永遠(yuǎn)不會遵守監(jiān)管法規(guī)。人們不要將安全性和合規(guī)性這二者混為一談，特別是當(dāng)企業(yè)正在遷移到混合云模型時，應(yīng)該將合規(guī)性視為企業(yè)云安全策略的一個重要但獨立的部分。

在混合云或多云環(huán)境中的合規(guī)性不一定是云應(yīng)用的障礙。事實上，許多內(nèi)部控制可以交叉應(yīng)用到企業(yè)的云環(huán)境中。但是，企業(yè)了解云計算提供商使用的現(xiàn)有控制措施，以及它們?nèi)绾闻c企業(yè)現(xiàn)有控制系統(tǒng)相關(guān)聯(lián)是非常重要的。“

Steffen補(bǔ)充道，“這可能是企業(yè)需要進(jìn)行一些小規(guī)模的程序變更，才能遵守云計算提供商使用的控制措施。但這也可能意味著企業(yè)以前的安全戰(zhàn)略發(fā)生根本性轉(zhuǎn)變。在選擇云計算提供商或安全供應(yīng)商之前執(zhí)行合規(guī)控制評估是必須的。”

5.企業(yè)的工具和其他供應(yīng)商集成在一起嗎 

Steffen表示：“特定的云計算提供商和他們正在使用的安全工具如何與企業(yè)使用的工具集成 有很多工具可以很好地集成在一起，但是如果企業(yè)使用的安全工具集與外界不兼容，那么可能會很麻煩，可能需要尋找可與其他平臺配合的平臺和工具。因此，云計算提供商和安全供應(yīng)商應(yīng)提供與現(xiàn)有本地平臺和工具的簡單集成。”

6.企業(yè)需要了解自己的供應(yīng)商

Steffen關(guān)于合規(guī)性和集成的建議給出一個提醒，企業(yè)保護(hù)其混合云環(huán)境在很大程度上取決于企業(yè)對所使用的平臺的了解和理解。

Biscom公司首席執(zhí)行官Bill Ho說，強(qiáng)大的云計算供應(yīng)商實際上可以提供內(nèi)部IT安全團(tuán)隊可能缺乏的專業(yè)知識。例如，他們可能會更好地實時監(jiān)控潛在威脅，例如零日攻擊。但這顯然并不是給定的。