多云环境下，如何实现自动化的安全防护？

网络安全公司Valtix最新调查发现，有51%的受访企业表示拒绝迁移到多云平台，而原因是这种环境增加了安全复杂性。这可以解释为什么Delinea的另一份报告发现， 86%的受访者表示正在探索自动化安全防护的方法，尤其是面向云环境下的自动访问控制等安全措施。

Delinea的研究特别指出，传统的安全技术显然难以跟上越来越复杂的云环境及应用，企业需要充分利用可随云扩展，并可以更好掌控安全态势的新技术。企业组织早晚都会面对多云环境的应用挑战，安全团队应尽早利用自动化手段，来帮助他们更有效地管理多云环境。

企业应如何构建自动化的多云安全防护能力?以下收集整理了多位安全专家、机构给出的建议：

1. 让自动化从安全开发起步

IBM有关创建混合、多云环境的报告称，企业必须从安全开发(secure-by-design)文化开始。这样一来，企业才能在开发生命周期的早期引入安全性，包括实施一系列合适的传统和云原生控制机制以及持续测试和验证。然后，通过建立强大、自动化的开发安全运维(DevSecOps)工具链以及自动部署基本的安全控制和策略，来支撑这一过程。在混合、多云环境中维护安全工作负载意味着安全团队要具备以下几种能力：自动化安全应用程序开发、按工作负载需求定义策略、使用基础设施即代码实现安全控制自动化、在多云环境中管理配置以及反复测试组织的安全防御。

2. 在云上资产生命周期每个阶段融入安全自动化

JupiterOne安全总监Jasmine Henry表示，企业组织在云上资产从创建到销毁的每个阶段都需要融入安全自动化能力。安全团队需要自动化手段来识别新资产，并明确资产关系，以了解实时变化如何影响风险。安全团队还需要将自动化安全融入到DevOps管道中，以便产品工程师在创建阶段为资产设置安全的运行参数，比如默认加密或数据分类等。

3. 掌握专业的自动化云安全工具

AppOmni的工程副总裁Tim Bach表示，无论安全管理者是专注于主要云基础设施提供商的安全服务，还是专注于满足为其业务提供服务的众多SaaS平台的安全需求，他们都有望管理越来越多的云，这些云将包含越来越多的敏感数据和关键业务流程。虽然云基础设施安全问题广为人知，并讨论了多年，但正确保护云上数据安全变得更具挑战性。为了帮助IT和安全领导者对他们支持组织的多云扩展能力充满信心，这些团队需要拥有专门构建的自动化云安全工具，以随时了解每个SaaS应用程序的更新和细微差异。

4. 将自动化融入到特权访问管理中

Delinea的网络安全布道者Tony Goulding表示，在特权访问管理 (PAM) 中构建尽可能多的自动化，有助于降低混合云和多云环境的复杂性。PAM解决方案本身需要更多的原生自动化，例如借助自动发现云平台和工作负载，使安全团队能够深入了解组织存在的虚拟系统。组织需要添加一系列自动化机制，交由PAM统一管理，规范地执行集中式PAM策略。例如，企业需要自动部署PAM客户端，并将这些虚拟系统纳入到平台中，分配唯一的机器身份，并建立信任关系，从而基于角色或群组将他们添加到访问区，并自动保管本地特权账户。

5. 用自动化方案实现关键安全能力整合

在Valtix最近的调查中，82%的IT领导者承认，多云中云安全的复杂性降低了业务敏捷性。为了实现多云优点，组织需要多云安全解决方案，可以将防火墙、入侵防御和跨每个云的流量监控等关键安全功能整合到单一策略平台中。当组织转向云优先理念时，他们可以通过利用广泛的云原生平台来支持安全、运营和其他功能，从而实现多云敏捷性。如果组织坚持使用直接搬到云端的老式数据中心工具，业务敏捷性就会降低，成本就会上升。

参考链接：https://www.scmagazine.com/analysis/cloud-security/5-ways-to-automate-multi-cloud-security