我是如何从“网瘾少年”成为“程序员”的？

第三阶段：根据企业自身业务特性，加强重点风险防范能力。如针对游戏业务的抗DDOS服务、基于SDK的安全解决方案，针对电商行业的风控平台和数据安全解决方案等，需要重点考虑。

第四阶段：适合企业混合云具体应用特性的安全强化,日常安全运维运营及安全合规工作。如针对SaaS业务的CASB产品，对高安全要求应用考虑实施SDP解决方案，敏感数据自动发现和动态脱敏，统一的安全中心和合规工作等。

信息安全本身就是一个不断进化的动态过程，不可能一蹴而就，也不存在百分百的安全保障。如何科学的构建和管理混合云安全，需要更多的风险评估、安全管理、安全研究、安全运营、安全开发等多方经验的总结和交流，也非常欢迎各位就混合云安全涉及到的方方面面多多交流!

 

类似地，混合云环境下的应用系统如果计划申请PIC-DSS认证、需要满足欧盟GDPR数据保护条例等合规或法律要求时，也是需要提供基础架构服务的公有云厂商具备相应的PCI-DSS认证资质、符合GDRP合规要求，同时对私有云基础架构(云计算平台)和用户业务系统(包括公有云和私有云上的云租户信息系统)进行对应的合规性检测。

因此混合云环境下，企业需要根据自身合规需要，选择具有对应资质的公有云厂商，同时根据不同合规检查项，对自建私有云平台进行安全自查、安全加固或安全整改，以确保私有云平台和运行的用户业务系统符合合规要求。

1.8 云安全产品的选择

混合云环境下，许多传统的安全理念、安全产品和安全解决方案已经不再适合，或者说是不能有效解决混合云环境下产生的各类安全风险问题。与此同时，业界对云安全的研究，也促进了不少新的，更加适合云环境的安全理念、安全模型、云原生安全产品和针对性的混合云安全解决方案，比如gartner推荐的多种安全技术，包括多云管理平台，云工作保护平台(CWPP)，云访问安全代理(CASB)，云安全配置管理(CSPM)，零信任安全解决方案(SDP)等等。

对于计划或已经采用混合云架构的企业安全管理、安全技术人员，特别是安全架构师而言，需要不断跟进最前沿的云安全技术，熟悉不同的云安全产品功能和特性，以及水平参差不齐的混合云安全解决方案，同时结合企业自身的业务特性、安全目标和实际风险情况，进行测试并谨慎选择合适的云安全服务、云安全产品或混合云安全解决方案，这同样是一件具有很大挑战性和很高风险的任务。

02.混合云安全解决方案建议

考虑到混合云环境下安全服务、安全技术、安全产品、安全平台、安全合规等安全风险的复杂性，建议企业在规划、构建和实施混合云架构时，可以使用第三方云服务商的安全咨询服务(如新钛云服等)，从专业角度帮助企业了解不同公有云厂商、公有云产品和服务、私有云平台选型、私有云安全能力建设以及不同混合云安全解决方案的优缺点、适用场景、实施成本等，以减少混合云选型、落地实施及后续运维运营管理等多方面的安全问题。

合理的混合云安全解决方案，仍然应该遵循最基本的安全建设理念，即合理的安全规划，分阶段进行实施，关注和防范重点风险。从实际项目经验来看，我们建议混合云安全解决方案大体可以分四个阶段进行实施：

第一阶段：混合云安全架构调研、测试、规划和实施。包括公有云服务商及公有云安全服务的测试和选型，私有云平台选型、私有云安全解决方案的测试和选型，统一的混合云安全管理平台等;

第二阶段： 混合云架构下的基础安全防范和服务能力建设。一般需要包括FW、WAF、CWPP、数据库审计服务或产品、多云管理平台等，以至少覆盖网络层安全、主机/容器安全、应用层安全、数据安全和运维通道的安全管理，从而构建基本的纵深安全防范体系;

（编辑：伊春站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!