在云计算技术迅速发展和广泛应用的大背景下,云计算已经成为了企业加速数字化转型的重要基石。然而,随着业务需求的不断变化、企业成本优化的需求、地区监管合规的限制,以及业务连续性等挑战的出现,单一的云服务已经无法满足企业的需求。因此,越来越多的企业已经开始进行云服务转型,迈向多云时代,以采用多云战略来支撑业务的发展。根据云安全联盟(CSA)于2021年发布的《多云安全风险图谱》指出,至少90%以上的企业在以下典型应用场景中采用多云战略:
企业通过多云部署,可增强其容错能力,确保数据隐私合规性,避免供应商锁定,并增强灾难恢复能力。然而,企业在实施多云部署时,由于需要根据不同业务需求从不同的云服务提供商采购云服务,这可能导致管理系统出现割裂。这种割裂可能引发一系列的安全风险,包括多云安全治理风险、人才不足、缺乏可见性、集成风险和配置风险等:
多云部署下安全风险管理要点选择统一的多云安全架构:企业应基于外部合规监管要求与内部风险管理目标,建立统一的多云安全架构,指导多云环境的安全规划并确保安全策略的一致性,以应对云计算技术演进带来的风险。建立数据安全与隐私保护管理体系:企业应时刻关注数据安全相关法规的变化,建立数据安全与隐私保护管理体系,包括制定完善的隐私政策、实现全面的数据加密和密钥管理能力、构建精细的访问控制策略、建立完善的审计机制等,提高数据在多云环境流转的安全性并确保业务合规。提高人员技能与安全意识:企业应完善IT运营、开发人员、安全人员等技术人员的技能培养计划,提升技术人员在多云环境下的管理和技术能力,以实现统一的操作模式,简化安全管理和运营的难度。同时,应定期开展安全培训和意识教育活动,提高员工的安全意识,增强员工对多云安全态势的认知。识别多云环境的资产与数据:企业应对多云环境中的所有资产和数据进行全面梳理和分类分级,包括云账号、云产品和服务、云上应用程序、数据资产等。通过资产与数据的识别,企业可以更好地识别其业务运营中的重要资产,为后续的安全评估与安全管控提供基础。评估多云环境面临的安全风险:企业应采用调研与技术测试等方法评估多云环境中所有资产和数据面临的风险,包括潜在的安全漏洞、恶意攻击、数据泄露等。通过评估风险,企业可以了解当前的安全现状,并确定需要采取的安全管控措施。实施与测试安全管控措施:企业应基于统一的多云安全架构,在多个层面实施安全管控措施以保护重要资产和数据并降低多云环境下的安全风险,包括实现统一身份认证、根据最小权限原则设置访问控制策略、实施数据加密与备份保护措施、定期开展安全审计等。同时,企业应通过漏洞扫描、渗透测试、配置审阅等技术测试方法识别安全管控措施的弱点并优化,以提高多云环境的安全能力。DevSecOps:企业应将安全(Sec)集成到开发运维(DevOps)中,并能在多云环境的管道中自动开展静态应用程序安全测试(SAST)与动态应用程序安全测试(DAST),以确保应用程序的安全性。评估和选择合适的供应商:企业应对云服务商和第三方运维等供应商进行全面的安全评估,包括供应商的安全防护能力、数据安全与隐私保护能力、合规性等,优先选择具有良好安全声誉和强大安全能力的供应商。定期开展安全评估:企业应定期开展全面的安全评估以持续了解多云环境的安全现状。通过评估,企业可以发现潜在的安全问题并采取完善的安全管控措施进行修复或改进。维护持续改进计划:企业应维护持续改进计划,包括对现有安全措施的审查和优化、新技术和新方法的引入等。通过持续改进计划,企业可以不断完善多云环境的安全体系,提高安全性。实现统一的安全运营与态势管理:建议企业建立统一的安全运营中心以整合、协调和管理安全活动,结合云服务商提供的威胁情报,实时监测与分析,提高安全事件的响应速度和处置效率,有效应对各类安全威胁。同时,建议企业建立统一的安全态势管理平台,整合不同云服务商的安全信息和数据,实现全面的安全态势感知能力,持续管理多云安全风险,检测、记录、报告并通过自动化的方式进行风险处置。完善事件响应计划:企业应基于安全责任共担模型以及云服务类型完善事件响应计划,明确不同类型、不同等级的责任人、操作步骤等。通过事件响应计划,企业可以快速应对各类安全事件,减少业务损失并及时恢复正常运营。应用毕马威多云安全能力框架管理多云安全风险毕马威提供一个全面的、系统的多云安全能力框架(以下简称“框架”),旨在确保企业在多云环境中的安全性和稳定性。该框架覆盖了多云安全治理、多云安全平台、多云安全部署、多云安全运营以及统一身份与访问管理五大领域,为企业提供了全方位的安全保障:
多云安全治理:制定清晰的、统一的安全策略和制度,确保企业在不同的云平台上遵循统一的安全标准;设计数据安全与隐私合规检查的工具和方法,确保企业在多云环境中的合规符合性。多云安全平台:整合各种安全技术和产品形成一站式的多云安全管理平台,全面了解多云环境中的安全状况,并采取相应的措施来应对各种安全威胁。多云安全部署:明确多云环境下的开发、测试及部署各阶段的安全方案及要求,实现对多云环境上应用程序安全性的整体管控。多云安全运营:整合资产、云服务、信息与日志以实现对多云环境安全事件的统一管理,确保企业能够及时发现和应对多云环境中的各类型安全事件。同时,提供安全意识和专项技能培训,加强员工的安全意识,提升专业人员的技术能力。统一身份与访问管理:实现统一身份与访问管理,提高多云环境集中管控能力,达到安全清晰可视、权限统一管控的目标。本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
©2024毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所;毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司;毕马威会计师事务所 — 香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。
