麦肯锡公司日前发布的一份调查报告表明,全球的云计算采用率正在上升,但大多数组织的云计算应用仍处于初级阶段。只有40%的组织在公共云平台上的工作负载超过10%,80%的组织计划在未来三年内将其工作负载的10%以上转移到公共云平台,或计划将云计算应用率提高一倍。

麦肯锡公司调查了大约100家企业,以确定企业如何采用云计算以及他们在此过程中面临的安全挑战。

对许多企业来说,安全一直是云迁移的最大障碍。然而报告发现,很多企业的首席信息安全官表示云服务提供商(CSP)的安全资源比他们自己的要安全得多。如今,他们正在考虑如何以更安全的方式采用云服务,因为他们现有的许多安全实践和体系结构在云计算中可能效率较低。

根据麦肯锡公司的调查报告,以下有10个步骤可以安全地将企业的工作负载转移到公共云:

(1)决定将哪些工作负载迁移到公共云。企业选择迁移的工作负载将决定需要哪些安全需求。例如,许多企业最初将面向客户的应用程序或分析工作负载移至云端,并将核心业务保留在本地部署的数据中心。

(2)确定满足工作负载安全要求的云服务提供商(CSP)。企业可以为不同的工作负载选择多个云服务提供商的服务,但这些选择应与企业的整体云计算策略的目标保持一致。

(3)企业根据业务迁移的便捷性、安全状况、成本考虑因素,以及内部部署的专业知识,为每个工作负载分配一个安全原型。

例如,企业可以选择重新构建应用程序,并针对面向客户的工作负载使用默认的云服务提供商(CSP)控制措施,并在重新构建数据访问时,取消和移动内部核心事务应用程序,而无需重新设计。

(4)对于每个工作负载,确定为每个控制措施执行的安全级别。企业应确定身份和访问管理(IAM)是否需要单因素、多因素或更高级的身份验证。

(5)决定为每个工作负载的控制措施使用哪些解决方案。企业可以确定每个云服务提供商(CSP)针对每个工作负载的功能,并决定是否使用现有的本地部署的安全解决方案、云服务提供商(CSP)提供的解决方案或第三方解决方案。

(6)实施必要的控制措施,并将其与其他现有解决方案进行整合。企业需要充分了解每个云服务提供商(CSP)的安全功能和安全执行流程。这也意味着云服务提供商(CSP)需要对其安全实践保持透明。

(7)确定每个控制措施是否可以实现标准化和自动化。企业必须分析全套控制措施,并决定哪些控制措施可以在整个组织内实现标准化,哪些控制措施可以实现自动化。

(8)优先实施第一套控制措施。组织可以根据企业迁移的应用程序以及它选择应用的安全模型来选择优先级。

(9)实施控制和治理模式。对于可以实现标准化但不能实现自动化的控制措施,企业可以列出清单,并培训开发人员如何跟踪它们。对于可以实现标准化和自动化的控制措施,企业可以使用安全的DevOps方法创建自动化例程来实施控制措施并实现标准化。

(10)利用第一轮执行期间获得的经验挑选下一组实施的控制措施。从这些经验中学习可以帮助改进未来控制系统的实施过程。

麦肯锡公司的调查报告指出,“我们的经验和研究表明,公共云网络安全可以通过正确的方式实现。通过开发以云计算为中心的网络安全模型,在八个安全领域设计强有力的控制措施,阐明云服务提供商(CSP)的责任以及使用安全的DevOps,企业可以将工作量转移到公共云中,从而更加确定他们最关键的信息资产将得到保护。”