多云部署让企业对规划进行了大量的思考，特别是在安全性方面。专家Dave Shackleford观察到了多云的挑战。

随着越来越多的企业不断在跨应用、平台和服务中增加云的使用，多云一词越来越受到关注。 但是这个术语也带来了一些疑惑。例如，什么是多云？

对大多数组织来说，只是使用几种不同的云服务进行组合，创建一个混合模型来共享数据、应用组件、连接，或者这三者的组合。对许多人来说，这可能是不同基础设施即服务（IaaS）和平台即服务环境之间的简单混合云，例如使用Docker和Azure。或者是IaaS和几个 集成到内部部署和云应用环境中的软件即服务。

多云部署中的数据分类和联网

在处理多个云提供商时，企业会考虑到一些安全问题。第一个是数据分类，它真正适用于哪种云部署，而不是多云部署。确保你的企业已经有了政策和治理方法，以跟踪你正在使用的云环境中允许运行哪些数据。这在多云架构中变得更加重要，因为不同的云提供商之间暴露或共享数据，也将有不同的安全策略和功能，如果未仔细地映射供应商之间的共享数据，则可能会影响你的合规状态。

第二个重点是网络和应用互连。大多数多云部署严重依赖网络连接，这些网络连接一般是对应用组件使用TLS; 对完全连接的网络子网则使用IPsec。确保携带敏感信息的所有连接都使用了适当的类型和级别的保护进行加密。

多云安全的进一步思考

理想情况下，多云环境的所有认证和授权将利用共享形式的访问管理。这应该适用于最终用户访问，以及管理访问和控制。共享访问和身份管理的完成，一般是通过使用内部的单点登录，同时，也越来越多地通过身份即服务提供商，这些提供商通过联邦标准与多个云提供商集成。

所有用户、组和角色都应该认真地定义访问多云部署的权限，而且这个中央身份和访问平台，无论是内部还是云商，都应该集中审核、控制。

安全事件管理是在多云部署计划占相当大的部分，因为云端日志记录将只涵盖该供应商环境的事件。理想情况下，所有日志应发送回到内部安全信息和事件管理或分析系统，或基于云的事件管理平台上，如Splunk Cloud、Loggly或Sumo Logic。

迁移到多个云提供商环境时，要考虑到正在使用的第三方安全供应商的产品，因为目前不是所有的云安全产品都支持所有的云提供商。 例如，发现某些安全供应商设备在Amazon Web Service（AWS）Marketplace中有，但不在Azure Marketplace中有，反之亦然。如果你对单一供应商进行重大投资，那么当你移动到多云时，这可能会限制新云环境中可用的安全控制。

特别要注意那些提供加密管理，和对系统及应用配置、性能可见的工具，因为这些工具无法被替代，而且成本也常常是双倍的。

使用多云部署的一个真正的安全优势是，可以找到最适合企业运行环境的云提供商的安全控制，并加以利用。例如，Microsoft Azure可能会提供比其他提供商更好的本机Windows系统和应用程序控件，但是Amazon提供了可配置的分布式拒绝服务预防服务（AWS Shield），可以作为更好的前端防线，因为DNS和路由可能在AWS内部就是现成的。为了利用这一优势，在评估云提供商时，安全控制将成为首要考虑因素，不幸的是并不总是这样。

尽管面临着安全挑战，企业还将继续迁移到多云部署中，因为不同的云提供商提供了不同的灵活性和成本节约。随着企业的发展，企业需要牢记多云架构的潜在风险以及保护这种环境的最佳做法。