是什么阻碍了您安全的进行云迁移？以及应对这些问题的最佳实践

以及应对这些问题的最佳实践 是什么阻碍了您安全的进行云迁移？ 以及应对这些问题的最佳实践 目录 引言 挑战1：人员障碍 5 团队专业知识不足5团队人手不够、存在内部冲突5 挑战2：流程障碍 7 变革的步伐策略之争 78 挑战3：技术障碍9 多点解决方案安全误区原有的应用程序 9910 克服云迁移安全障碍的最佳实践11 安全迁移到云端统一威胁防护追求运营效率和一致性采用整合平台安全自动化减少孤立责任 客户使用案例：获得云级可见性14 无忧保护云环境和DevOps15 利用CloudGuard实现业界领先的云安全15 引言 随着业务不断发展，公司需要将工作有效负载迁移到云端，由此实现系统扩展升级，满足成本节约要求，同时赢得竞争优势。而在开启转型之旅后，这些公司往往会遭遇涉及组织内部人员、流程和技术层面的安全和运营挑战。 本白皮书深入探讨了组织在云迁移阶段面临的安全挑战，以及如何在迁移之后确保云部署和云活动的持续安全。白皮书第二部分提供了应对这些障碍或挑战的实用解决方案。 我们采访了 Check Point 的云安全专家以及来自美洲、欧洲、中东和非洲地区及亚太地区的客户，旨在获取有关客户和潜在客户所反映的迁移障碍的第一手信息，发掘关于这些云迁移过程中遇到的问题及洞见。 挑战 1：人员障碍 部署先进的解决方案对于安全的云迁移和迁移后的云安全至关重要。这些工具诚然十分关键，但其有效性取决于部署和后续管理这些工具的团队。 技术带来的强劲动力有时会导致对人员因素的忽视，但人员因素不论是在初始部署阶段还是持续风险管理阶段都十分关键。一旦缺乏有效的监督，采用再先进的系统也可能最终事与愿违。目前，合格的云安全工程师在全球范围内都普遍短缺，组织因而面临愈发严峻的挑战。 团队专业知识不足 组织往往高估其团队的云技能，导致期望与现实之间存在差距，在云安全的专业知识方面尤其如此。引入新的云解决方案需要成熟的工程师，或是对工程师的云安全技能进行新的培训。 但随着这类解决方案的数量日益增加，技术更新速度也在不断加快，意味着云安全工程师需要持续提升技能和开展自主学习。加之实施过程时间紧、任务重、协调不力，导致工程师不堪重负，云迁移流程失去章法，安全性也受到影响。 即使设立了专门的云安全团队，分工不清、职责不明也会造成混乱无序和效率低下。 例如：某金融服务提供商决定迁移到云端，并认为云端运营和安全与他们已在本地进行的工作非常相似，因此并未培训或聘用专业的云计算工程师。他们没有考虑迁移到云端可能带来的额外风险，也不清楚云计算与其现有技术的实际差异，比如需要用到云市场、部署模板、修补程序、故障排除以及其他不熟悉的新流程。这些新技能或许未必很难，但需要花时间学习，而且会拖慢客户的安全迁移进程。 团队人手不够、存在内部冲突 将这些问题归入人员障碍一类，是因为即使组织内部相关员工具备安全迁移至云端所需的技能，这些人员也不能保证随时待命。 精通云技术和安全技术的 IT 团队通常需要平衡多项紧迫职责，忙到分身乏术。有经验的团队成员往往兼顾多个方向，承担大量任务，无法完全专注于云迁移的安全。 鉴于很难做到全程跟进以确保无缝安全过渡，故而迁移过程存在延迟和不一致的情况。 例如：另以我们采访的一所大型高校为例，他们拥有专业的安全工程师，但事后才发现，这些工程师并非总能有足够的时间来充分规划和执行向云端迁移的工作，因为他们仍然需要负责本地日常安全运营事务。他们还透露，早期云迁移规划会议并未邀请全部利益相关者，会议开始后他们竟然发现关键人物缺席（其中一次是拥有从云市场部署解决方案权限的人员），这也导致项目进度延后。 组织的内部矛盾可能会使云迁移之旅更加复杂。有关云安全工具和流程的决策往往受政治因素左右，而非立足于组织的客观需求。围绕从本地迁移到云端适合采取何种方式，本地工程师和云安全团队各执一词，这也是需要谨慎对待的障碍之一，因为所谓的“正确”解决方案或流程并无一定之规。 这些内部矛盾会阻碍安全、高效地采用云计算，因此需要借助协作平台来协调团队，以利于云迁移的平稳过渡。 例如：我们采访的某制药公司没有明确的流程用来评估哪些内容可以或应该迁移到云端，冲突由此产生，妨碍了将工作有效负载迁移到云端，导致这些工作有效负载无法从中获益。此外，某些流程和服务未能获准实施，往往也让安全迁移变得更加麻烦。比如有一次，由于新服务受限，他们的管理层并未批准注册新的云服务；还有一次，公司审计人员坚持要求更改流量，而这与他们之前的架构设计不符。 在另一个例子中，Check Point 云安全架构师解释了客户新组建的云安全团队为何没有与经验丰富的本地安全团队协商。该本地团队以往曾部署新的数据中心，积累了相关专业知识，尽管许多基本安全概念相近，但他们并未参与其中。 挑战 2：流程障碍 有效的流程对于成功实施云迁移发挥着至关重要的作用，为数据和应用程序转换提供结构化框架。它们可以确保高效、安全地协调迁移组件。然而，许多组织面临着安全流程过时或无效的难题，即使拥有成熟的团队和先进的技术，云迁移工作仍然阻力重重。 如果没有强大的流程，人员和技术之间的协作就会中断，导致无法有效地保护基础设施，从而使关键资源暴露于风险之中。 变革的步伐 在迁移到云端时，一些组织速战速决，另一些则更为谨慎。这两种方法都可能影响云迁移的安全。 计划不周会让许多组织在着手实施云迁移时迟疑不决，造成流程进展缓慢并出现脱节。这些组织非但无法受益于高效、周密的迁移，反倒因为犹豫而迟迟不能建立一致的架构和安全态势。 迁移步伐过缓往往导致组织缺乏全面的策略，而是采用拼凑的安全解决方案来满足新出现的需求。 由于缺少重大进展，组织很难证明进一步投资云计划的合理性，也就难以通过有序、安全的云迁移来获得潜在增长和云迁移带来的诸多优势。 另一种情况是，许多组织听说了云迁移的价值，便仓促上马。急于求成的结果是，本地解决方案在集成到云端之后却无法有效发挥作用。 与之类似，有些公司在迁移时一味求快，往往选择以结果为导向而非以流程为导向的第三方供应商。在这种情况下，第三方供应商完成了迁移，但组织并未获得与其软件开发生命周期相一致的完整流程。 例如：Check Point 云安全专家指出，无论从运营还是安全角度来看，规划不当（不仅是在云计算中）都势必造成中断和风险。他们经常看到客户的风险管理执行不到位，例如为可能出错的事项分配一段缓冲时间。某大型医疗服务提供商在提出一种架构方案后，发现由于急躁冒进，所选架构无法满足特定要求，他们不得不推倒重来，换一套方案重新部署。 策略之争 在云迁移期间，组织面临众多策略博弈，必须考虑权衡取舍。例如，开发人员以速度为先，安全团队则强调安全，双方相互角力。 另一个例子是迁移策略。速度更快的“整体迁移”方法对服务的干扰较小，但可能无法针对云计算准确实施安全功能；而彻底重构的方法需要更多时间，但通常更全面，可以针对新环境定制安全控制措施。 例如：某市政府将所有应用程序分为两类：对所有现有本地应用程序采用“整体迁移”方式，而对所有新应用程序进行重构。安全团队负责“整体迁移”，开发人员则负责重构和推进，并且通常以不安全的方式进行。因此，这两种策略并不矛盾，却也始终不会趋同。 挑战 3：技术障碍 技术挑战可能阻碍安全的云迁移过程。公司需要应对兼容性问题，需要考虑如何选择正确的安全措施，这些障碍会延缓迁移过程，并带来潜在的安全风险。公司还需要在不中断当前运营的情况下集成新技术，这些挑战带来更多复杂性。 此外，市场上大大小小的供应商令人目不暇接，他们纷纷表示自己拥有最佳解决方案，常令供应商陷入决策僵局。 多点解决方案 在云迁移期间和迁移之后如果依赖多点解决方案，将会带来重大挑战，使组织环境日益庞杂。实施和管理不同的解决方案需要复杂的学习曲线，以及多次谨慎的集成。这会增加管理工作和复杂性，进而造成潜在的低效率和额外的安全风险。 多点解决方案还可能因大量不同的通知而引发警报疲劳，使管理进一步复杂化，并降低安全团队的效率。 这些互不关联的解决方案无法像集成平台那样跨安全层和功能无缝共享信息，导致组织错过直观的“1+1=3”协同效应。这使这些解决方案难以发挥协同作用，而且往往适得其反。 例如：某酒店管理公司从 AWS 开启他们的云计算之旅，并选择只实施 AWS 安全解决方案。在收购另一家使用 Azure 的公司后，安全团队意识到，由于安全控制措施不一致会带来复杂性和额外的风险，因此无法将现有解决方案与所收购组织的 Azure 安全集成。 安全误区 一个常见的误区是，所有云安全解决方案提供的保护级别相差无几。事实并非如此：各种工具在有效性和功能性方面存在很大差异。 Gartner 指出，云服务供应商防火墙提供基本保护，但被视为入门级“特定领域产品”，与高级解决方案相比存在不足。卓越的网络安全供应商产品可提供增强的威胁情报功能、无缝集成以及针对复杂攻击的强大防御机制，所有这些在当今庞杂的安全环境中必不可少。 如果不能辨别产品差异，不去选择先进的解决方案，组织将处于不利地位。 例如：Check Point 专家告诫称，“勾选”式安全措施可能在纸面上够用，但在实践中却会带来灾难性后果。很多时候，这些解决方案仅以通过审计为目标，但无法抵御高级威胁，从而将组织置于巨大风险之下。与前面的例子类似，为每种云环境分别选择特定的解决方案会增加运营成本，甚至带来更大的风险。 原有的应用程序 组织面临的压力与日俱增，他们需要将所有内容迁移到云端，而原有技术的存在使这一过程变得更加繁冗，同时带来更多安全风险。 由于原有应用程序在设计上存在固有漏洞，许多组织往往不愿意将其迁移到云端，因为这些老旧应用程序通常更难确保安全以及执行修补或更新。相关团队拥有深厚的知识积累，但在有关采用新技术的讨论中，他们往往被边缘化。 组织必须有明确且令人信服的迁移理由，例如增强安全性、降低成本、提高可靠性或改善可管理性。如果没有明确的目标，迁移原有应用程序会增加复杂性，却无法带来预期的效益。 例如：某大型保险公司将一款原有应用程序迁移到云端，但云环境中的负载平衡器却意外地干扰了应用程序的故障转移流程。在该案例中，组织此前并不了解这款应用程序的局限性，直到需要在云环境中运行时才发现这一点。云服务功能通常由云服务提供商设定，无法根据组织的需要进行更改。Check Point云安全架构师认为这是将原有应用程序迁移到云端时的“意外后果法则”。 “整体迁移”应用程序在云环境中出现故障，通常表明某些基本假设不正确。这需要制定彻底的修复方案。但是，在云端运行的应用程序可能暗藏内部缺陷，从而导致每月账单远超预期，而这种情况可能会持续数月或更长时间而不被察觉。 克服云迁移安全障碍的最佳实践 探索安全迁移之路确实是一项艰巨的任务。但通过利用最佳实践，可以有效应对和克服每一项挑战。 这需要将技术调整和关键运营变革结合起来，组织必须致力于做出明智的决策并实施结构化规划，而不是采用非正式的方法。 安全迁移到云端 尽管人们认为云迁移非常复杂，但组织可以从韧性基础开始，确保安全过渡。3C 最佳安全原则对于这一基础不可或缺： 协作(Collaborative)：倡导团队协作和工具协同配合，主动防范威胁并管理威胁 组织需要安全可靠的方法契合这些原则，从而显著增强安全态势，确保安心无忧地高效实施迁移流程。 统一威胁防护 要应对云迁移挑战，公司必须认识到需要在本地和不同云环境中采用高级威胁防护和多层级化安全方法。统一的威胁防护策略和技术堆栈解决方案令这一问题迎刃而解，不再只是单纯地关注孤立的安全方面，而是可为多个分布式环境中的所有资产和工作有效负载提供统一的安全性。 这种全面的方法可以帮助组织从原有应用程序过渡到前沿技术解决方案，为整个云环境提供更强大、更现代化的安全功能。即使是那些快速采用云技术的组织，在应