由于嚴(yán)格的合規(guī)性要求或?qū)υ瓉?lái)數(shù)據(jù)中心基礎(chǔ)設(shè)施的大量投資，許多將工作負(fù)載遷移到云平臺(tái)的企業(yè)仍需要保留其內(nèi)部部署數(shù)據(jù)中心。在這種情況下，企業(yè)通常會(huì)選擇混合云模式。

但是，這種模式在安全方面帶來(lái)了額外的復(fù)雜性。以下將研究五個(gè)常見(jiàn)的混合云安全挑戰(zhàn)，以及企業(yè)可以用來(lái)克服這些挑戰(zhàn)的工具和策略。

1. 混合云中的數(shù)據(jù)傳輸

混合云架構(gòu)通常涉及兩種不同云計(jì)算提供商的基礎(chǔ)設(shè)施——公共云提供商和私有云提供商。這些平臺(tái)往往采用全球互聯(lián)網(wǎng)傳輸數(shù)據(jù)，這帶來(lái)了安全隱患，因此企業(yè)需要確保數(shù)據(jù)在傳輸過(guò)程中保持安全。

加密所有流量以克服混合云的這種安全性挑戰(zhàn)。企業(yè)可以采用最新的加密標(biāo)準(zhǔn)和密碼，并根據(jù)特定需求定義自己的要求。

主要的云計(jì)算供應(yīng)商提供傳輸層安全性或客戶(hù)端加密措施，以確保數(shù)據(jù)的安全性。

2. 認(rèn)證和授權(quán)

身份驗(yàn)證和授權(quán)在任何業(yè)務(wù)中都很重要，但是在處理混合云安全性的復(fù)雜性時(shí)，需要格外注意。企業(yè)必須評(píng)估如何在內(nèi)部部署數(shù)據(jù)中心和公共云中訪(fǎng)問(wèn)數(shù)據(jù)。為了保護(hù)這些帳戶(hù)，需要使用身份和訪(fǎng)問(wèn)管理工具來(lái)設(shè)置身份驗(yàn)證。

考慮使用單一登錄工具來(lái)集中化混合云訪(fǎng)問(wèn)管理，尤其是在企業(yè)的環(huán)境使用多個(gè)云平臺(tái)和內(nèi)部部署帳戶(hù)的情況下。企業(yè)可以選擇公共云托管工具，例如AWS單點(diǎn)登錄工具或Microsoft Azure 活動(dòng)目錄無(wú)縫單點(diǎn)登錄工具，也可以采用流行的第三方產(chǎn)品（例如Okta）。

3. 技能差距

當(dāng)企業(yè)采用不熟悉的技術(shù)時(shí)，那么使用該技術(shù)的人員都將面臨安全風(fēng)險(xiǎn)。雖然企業(yè)的員工很少有惡意行為，但是他們也可能會(huì)犯錯(cuò)。

如果用戶(hù)不熟悉公共云，則他們需要適應(yīng)軟件部署模式以及它們與更傳統(tǒng)的內(nèi)部部署方法的區(qū)別。例如，工作負(fù)載在AWS、Azure或Google Cloud云平臺(tái)上的保護(hù)方式與私有數(shù)據(jù)中心中的保護(hù)方式不同。

此外，開(kāi)發(fā)人員可能會(huì)被吸引使用可在混合云中實(shí)現(xiàn)自動(dòng)部署的服務(wù)。其中包括Terraform等基礎(chǔ)設(shè)施即代碼工具，Git等版本控制系統(tǒng)，以及TeamCity和Jenkins等持續(xù)集成（CI）和持續(xù)交付（CD）工具。

為避免人為錯(cuò)誤導(dǎo)致的安全風(fēng)險(xiǎn)，需要確保以最小特權(quán)授予權(quán)限。這些工具本身應(yīng)具有有限的訪(fǎng)問(wèn)權(quán)限，并且僅允許員工將其用于特定的基于角色的功能。

另外，企業(yè)可以將更多資源用于員工培訓(xùn)。每個(gè)使用云平臺(tái)的人員都必須定期了解與之合作的組件和服務(wù)。企業(yè)可以使用官方的公共云培訓(xùn)和認(rèn)證、免費(fèi)或付費(fèi)的在線(xiàn)課程，或采用其他一些工具來(lái)教育其員工。

4. 跨越混合云的網(wǎng)絡(luò)

網(wǎng)絡(luò)是計(jì)算基礎(chǔ)設(shè)施的基礎(chǔ)。使用混合云，就不必?fù)?dān)心每個(gè)運(yùn)營(yíng)環(huán)境的網(wǎng)絡(luò)連接，以及將這些環(huán)境整合在一起的網(wǎng)絡(luò)連接。這里不能犯錯(cuò)，因此必須使用公共云提供商的網(wǎng)絡(luò)工具和服務(wù)來(lái)實(shí)現(xiàn)此目的。

例如，如果企業(yè)使用AWS云平臺(tái)，需要在數(shù)據(jù)中心和AWS云平臺(tái)之間設(shè)置一個(gè)站點(diǎn)到站點(diǎn)VPN，該站點(diǎn)直接連接到企業(yè)的Amazon VPC。還可以使用諸如AWS Direct Connect、Azure ExpressRoute和Google Cloud Interconnect之類(lèi)的服務(wù)。這些產(chǎn)品為企業(yè)公共云環(huán)境提供了安全的專(zhuān)用網(wǎng)絡(luò)連接，還降低了數(shù)據(jù)傳輸?shù)某杀尽?/p>

5. 合規(guī)性問(wèn)題

混合云給數(shù)據(jù)移動(dòng)帶來(lái)了巨大的合規(guī)性挑戰(zhàn)。例如遵守?cái)?shù)據(jù)主權(quán)法律和GDPR法規(guī)的合規(guī)性，即使在小型簡(jiǎn)單的混合環(huán)境中也是如此。在醫(yī)療、政府和金融等受到嚴(yán)格監(jiān)管的行業(yè)中，即使一些小錯(cuò)誤也可能會(huì)導(dǎo)致嚴(yán)重的罰款甚至訴訟。

為了確保適當(dāng)?shù)暮弦?guī)性，首先要評(píng)估每個(gè)單獨(dú)的運(yùn)營(yíng)環(huán)境。然后再?gòu)恼w上看待混合云的整體安全性，以確保沒(méi)有犯錯(cuò)的可能，所以企業(yè)在構(gòu)建混合云時(shí)，需要在每一個(gè)步驟都要牢記這些注意事項(xiàng)，這是因?yàn)槭潞蠼鉀Q合規(guī)性問(wèn)題要困難得多。