构建安全混合云环境的10个关键标准

数据点1:灵活性。

易于实施，可跨越多个工作负荷环境(如IaaS、PaaS、Office、虚拟机、容器、未来功能即服务)，提供单一视图，对中型企业和企业组织至关重要。理想情况下，当初部署在当地时，将同样的工具和应用扩展到云中。这意味着平台结构从一开始就成为混合环境，其灵活性包括云服务提供商市场安装的便利性。

数据点2:可扩展性。

DevOps友好的开放式应用编程接口(API)是一个外部数据源和项目开放平台，如身份和访问管理、可插拔身份验证模块(PAM)、安全信息和事件管理、用户和实体行为分析、日志记录、威胁信息、帮助控制台。开箱即用云计算和API的互动操作性对适应业务的重要应用至关重要。API还可以集成到组织的持续集成和部署(CI/CD)流程及其DevOps工具中。这当然涉及到图片/容器运行时和排列的生命周期容器支持。

数据点3:响应能力。

随着当今安全威胁的快速增加，最大限度地减少实施所需的时间和基础时间，快速识别姿势的变化变得重要。这需要基于微服务的弹性扩展架构和无代理架构，能很好地适应容器和功能的工作负荷，消除影响中央处理单元、内存和I/O负荷的过度膨胀。

数据点4:深度发现。

必须自动识别现有和新的工作负荷和多个云计算服务提供商对现有工作负荷的变更，并根据功能适当分组。这个发现应该是一个简单的过程，利用现有的AuthN和AuthZ(开放授权)战略，避免每次都要制定特殊的身份访问管理战略。

数据点5:广义战略库。

该平台必须支持广泛的标准、框架、指南和基于工作负载类型的定制策略。这些战略应自动应用于现有工作负荷和新工作负荷。其覆盖面广，还涉及操作系统、虚拟化、云计算服务商。功能可能包括操作系统强化、漏洞和补丁管理、配置管理、白名单和系统监控。

数据点6:跨基础设施的实时风险评价。

组织发现资产应用政策，必须评价资产。这可以是基础设施不同的切片（如位置、子网、部门），跨环境（云计算、内部部署数据中心）的工作负载类型，或者应用（如PCI、Web）。评分应优先考虑，历史可用，与第三方自动化工具整合或与现有用户界面(UI)整合，最重要的是相关性。例如，组织运行具有10个当地RedHatEnterpriseLinux服务器的网络服务器农场，开始转换到云。在转移过程中，微软Azure有5个网络服务器，内部有5个网络服务器。如果跟踪支付卡行业（PCI）的合规性，具必须在两个环境中生成标准化视图。

数据点7:支持容器(Docker)

容器(Docker)技术引起了许多企业采用者的关注。在当地实施容器或云计算部署的部分实施容器时，必须确保其工作负荷安全。此外，如果组织从注册表中引入图片，则需要确保这些图片没有损坏。数据点6中描述的许多相同的功能也适用于这里，如硬化、扫描和白名单。查看容器支持的一种方法是在生命周期中，包括图像扫描、容器运行时的监控和业务流程层的安全。

数据点8:云的安全状况。

工作负荷保护和保护云计算一样重要。这包括各大云计算商提供的各种服务，如存储、身份、负载平衡、计算和媒介。该系统结构必须支持实时监控和评估这些服务。然后，最重要的是检查这些服务的安全性如何与重要工作负荷的安全性有关。必须相关评分，为首席信息安全官和团队提供统一评分，反映跨工作负荷和云的真正混合安全状态。

数据点9:云计算的敏捷价格。

反映云计算和存储定价模型，采用灵活性满足不断变化需求的定价模型非常重要。这可能涉及到软件即服务（SaaS）产品或将平台后端连接到云计算服务提供商的计费引擎，并具有分钟计费的能力。或者定价可能是抽象的，但还是比较敏捷，更接近承诺和突发工作负荷的概念。在任何情况下，这都与现有的静态定价背道而驰。

数据点10:预测分析。

预测分析允许平台预测变化的结果。对配置和操作系统的假设分析在当今不断变化的环境中很重要。通过API可以从第三者引入数据，创建更相关的视图。有些客户将其描述为虚拟白板。