混合IT环境的兴起，以及与云和本地服务的混合，给高管们带来了新的安全问题。

安全专家认为，这是因为技术和安全领导者不仅要面对云和本地系统的威胁，还要面对企业在混合IT环境中一起使用这些系统时，所出现的漏洞。

“随着复杂性的扩大，有越来越多不同的环境–而且，这些环境往往会不断增加–运营，管理和安全性会变得更复杂，” Ed Moyle说，他是Rolling Meadows的全球独立非盈利协会ISACA的新兴业务和技术总监。

Moyle和其他几位安全专家都表示：混合IT环境需要一个网络安全计划，为其本地组件提供可靠的战略，同时包含保护其云计划的方法。

对这一安全规划和协议中新出现的问题，大多数企业都意识到了挑战。软件公司SolarWinds最近的一份报告发现，69％的IT专业人士表示，他们的企业使用三个云供应商的环境。

报告“IT Trends Report: Portrait of a Hybrid IT Environment”也发现，62％的北美受访者表示，基础设施新增的复杂性是一个挑战，而47％的受访者表示“缺乏对云基础设施安全性的控制和可视性”造成了复杂性。

然而，同一份报告也发现，只有39％的北美受访者表示，他们的企业在其混合IT开发战略中包含安全性。

共享的，一致的责任

咨询公司Protiviti的全球信息安全项目总监Scott Laliberte表示，企业IT领导者首先应该认识到，混合IT环境需要划分安全责任，而这种责任并不存在于现有的本地或云场景中。

他解释说：“你们有共享的责任，有云供应商的责任和企业自身的责任 – 也许还有一些第三方应用供应商的负责。”

Laliberte说，在与供应商的合同中，企业应该明确说明供应商将会承担哪些安全工作，以及企业承担的部分。

“Cybercrime: The Madness Behind the Methods”一书的作者Richard White说，许多IT企业，特别是中小企业，都没有采取这一措施。

“他们积极参与，但是他们几乎或者根本不知道他们将失去对数据的直接控制和可视性，”White说，他是马里兰大学网络安全和信息保障课程的负责人，同时也是Oxford Solutions的总经理。

“他们不明白在云层面或服务水平协议中应该承担什么责任，责任范围非常模糊。”

专家表示，分配安全责任，并记录每个人的责任只是必需完成的一部分。企业IT还必须明确他们将如何监督和管理这些双重责任 – 并确保双方都完成这些责任。

Laliberte说：“真正了解谁对哪一件事负责，对于那些不在企业直接控制范围内的控制权，你可以做哪些尽职调查，以及如何获得合规性证据。”

专家说，对于许多IT企业来说，很大一部分困难是在混合IT环境中保持一致的安全策略。例如，无论应用和基础设施位于何处，都应该在任何需要的地方应用和实施诸如数据泄漏防护功能和终端用户行为分析等工具。

Laliberte说，云访问安全代理，CASB在这方面很有帮助。CASB是一种软件工具或服务，位于企业的本地基础设施与其云供应商之间，确保两点之间的流量符合设定的安全策略。

但是，尽管CASB在监督和指标方面可以创建一致性，但它们并不是万能的。“它也有缺点，它可能成为故障点，有些可能会带来潜在的弹性和其他安全问题，”Laliberte解释说。

更好的治理，更多的动力

混合IT环境还经常需要额外的安全措施，这在本地环境中，或云设置中可能不需要。

专家们指出，企业可能需要对传输中的数据进行加密，当数据在本地和云之间移动，如果数据始终处于一个环境中，可能不需要这样做。而且，混合环境在使用加密时，需要有额外的考虑。

Laliberte说：“加密密钥的管理可能被忽视。通常情况下，这是由云供应商负责的，企业没有控制权。加密也是如此：供应商通常负责控制加密。”

Moyle说，在混合环境中，意外后果的风险也会增加，一个进程的升级可能会影响其他方面的安全性。

网络安全领导人认为，混合IT环境的额外复杂性也提高了对强有力治理的需求。而且，治理必须统一，企业不应该有两个完全独立的治理运营 – 一个用于本地，一个用于云。

“安全已经很难，为什么要分开管理？”Laliberte说。

其他人则认为，有这么多的责任需要明确，分配和监督，没有勤奋和动态的监管就不能做好。专业服务公司PwC的合伙人Shawn Connors表示，治理方面仍然令人困惑。

Connors说：“技术方面，比如如何把所有东西连接在一起，都是很好理解的。但是执行政策和标准，并理解其中的职责和责任，则不是，” “如果我必须从治理政策中完成X，Y，Z，我需要了解它是什么，并将其写入我与云服务供应商签订的合同中，并规定标准。这似乎仍然很困惑。”