进行安全云迁移的7个注意事项

王英哲

地球上每4个组织中就有3个有某种云的存在。根据2018年IDG的一项调查，77 %的企业现在在云中至少有一个应用程序或部分企业计算基础设施。在同一份报告中还透露，他们计划在云应用、平台和服务上平均投资350万美元。

展望未来，包括制造业、高科技和电信在内的技术依赖型行业的高管管理正日益朝着100 %支持云计算的方向发展。这也意味着，除了那些以完整的基于云的基础架构开始的新创业公司之外，大多数组织目前正在积极地将基础架构和/或应用程序迁移到云，并尝试在本地物理层之间桥接其业务流程、应用程序和工作流。网络和驻留在公共云中的一个或多个网络，如果他们现在没有这么做，将来也会去做。

这些组织面临的挑战之一是在本地和基于云的资源之间创建一致的安全态势。事实上，并不是所有的安全策略都能在多云环境中成功实现，尤其是在使用多种工具时。这是因为大多数供应商解决方案并不支持所有主要云平台，许多还不支持本地云集成。当工作流和应用程序在不同的云环境中移动时，可能会在执行一致性和策略定义方面带来挑战，从而导致安全漏洞和盲点。

成功地将安全性迁移到云

将基础设施、应用程序或服务迁移到云，而不扩展攻击面或增加安全开销，需要仔细准备。首先要理解任何基于云的部署，无论是构建新的基础设施还是构建新的应用程序，都需要在业务、IT和安全团队之间进行清晰的通信。如果没有关于业务需求和目标的清晰沟通，没有对相关威胁的坦率讨论，组织就会面临一系列新的风险，包括针对云资源的拒绝服务攻击、云恶意软件注入、Web应用程序开发、云API攻击以及帐户或服务劫持。

成功的云迁移还需要将安全性迁移到云，从而使组织能够部署和管理跨越整个多云基础设施的安全框架。以下是组织在规划云采用或云迁移策略时都应该考虑的7个步骤：

步骤1：在迁移到云之前确定您的安全性

很多组织围绕隔离安全设备构建的安全架构，但都是分散管理并且安全策略不一。如果您的组织属于这种情况，则需要首先控制安全蔓延并实施中央安全策略。一旦到位，您需要提出以下问题：

是否了解当前的安全状况及其对未来业务目标的影响？

是否为当前和未来的环境制定了适当的政策和程序？是否对云将如何改变您的安全范例进行了差距分析？分布式，基于云的网络对风险管理有何影响？

步骤2：规划带宽要求

您需要建模并了解数据流和带宽要求，以确保安全解决方案能够满足性能要求，尤其是对于需要通过虚拟专用网络（VPN）隧道的延迟敏感型服务。

步骤3：了解合规性问题

对于在云上处理和存储的数据，以及在不同云和物理网络环境之间移动的数据，您需要满足哪些要求？在开始构建或采用任何类型的云计划之前，咨询您的法律团队至关重要。

步骤4：提供高可用性和灾难恢复

在解决安全问题之后，大多数寻求云解决方案的组织最担心的是基于云资源的可用性。您还需要了解是否需要动态扩展以及安全解决方案是否可以满足新的性能要求。最后，需要考虑流对称和负载平衡等问题，尤其是对于遗留应用程序，以便保持可用性，性能和保护———即使在使用基于动态云的服务时也是如此。

步骤5：在正确的地方应用正确的安全

云安全性不仅需要在云基础架构的周边放置防火墙。根据运行的应用程序和使用的服务，需要应用各种安全解决方案。下一代防火墙解决方案是最常用的安全工具，但通常还需要其他解决方案，包括WAF，IPS / IDS，CASB。

步骤6：建立生命周期管理框架

确保安全解决方案与策略实施之间的一致性，尤其是跨越多个环境时至关重要。安全工具需要特别选择，不仅因为他们能够在特定的云平台中本地运行，而且还因为他们能够在整个安全策略生命周期内与其他环境中部署的姐妹解决方案无缝进行互操作。包括：一致的安全更改策略、动态配置和扩展、单点管理（包括与中央ITSM解决方案的集成以及中央日志的收集和关联。

步骤7：不要让云的易用性使你陷入快捷安全

采用云服务就像点击链接一样简单。添加新的基于云的基础架构虽然复杂得多，但却比构建物理对应简单得多。但这可能过于简单化，太多的组织在没有仔细考虑与安全性相关挑战的情况下，就匆忙地采用新的云解决方案，为此付出了代价。从向网络开放新的攻击载体，到对新的基于云的威胁毫无准备，再到因未能对新的遵从性考虑做好充分准备而受到的罚款和处罚，不一而足。

在开始构建新的云基础架构、平台或服務之前，仔细准备可以节省时间、金钱和声誉，使您能够在当今的新数字市场中有效竞争。