多云蔓延已经发展到临界点，导致不同程度的安全暴露、治理复杂性和运营疲劳。首席信息官最初将多云用于节省成本和避免供应商锁定，但他们正面临意想不到的后果，例如广受关注的数据泄露事故，以及工具蔓延—不一致的日志记录和监控。

笔者最近开始看AMC电视台的《奔腾年代》电视剧。虽然这部剧里面的技术方面存在不准确之处，但其剧情让这位IT和网络安全专业人士着迷。该故事设定在20世纪80年代，主角Joe MacMillan是一位创新者，他带领他的计算机工程师团队创造了世界上第一台真正便携式兼容IBM的计算机（即笔记本电脑）。在第二季中，Joe离开了他的硬件和软件工程师团队，在他未来岳父的能源公司从事数据输入的工作。他很快发现，该公司对IBM主机进行了大量投资，但他们只在周一至周五的营业时间内使用计算能力。Joe提出一个想法，让其他公司“租用”其IBM主机的未使用部分，从而创造此前没有的收入流。

尽管十几年后才出现云计算这个术语，但Joe MacMillan的做法确实为“云计算”奠定了基础。通过利用他人的计算机、网络和数据中心来处理、传输和存储自己的数据。

在本文中，我们将探讨首席信息官云和多云战略的风险和潜在缓解措施。

网络安全构成最严重的潜在威胁

笔者作为网络安全专业人士长达20多年，可能会有些片面。然而，毋庸置疑的是，网络安全是公司高管最关心的问题。

随着大家越来越多地使用AI进行开发和创新，企业正面临压力，他们需要探索所有云AI产品，这导致多云复杂性。随着企业从本地程序转向基于云的程序，企业会更加意识到他们缺乏成熟的IT和网络安全流程。如果没有云战略，首席信息官可能会发现自己面临挑战，因为他们试图通过AI和云计算来减轻风险。

从总体云治理和风险管理实践方面，以下需要解决的问题：

• 攻击面扩大。对于多云，集中控制点不再适用，也无法设置输入和输出限制。云租户本质上可以从互联网上的任何地方访问。云的配置也不同，每个云都需要专业知识——例如，AWS工程师不太可能熟悉谷歌云平台，反之亦然。这使得几乎不可能发现未经批准的云使用。
• 身份和访问管理（IAM）碎片化。身份是网络边界，包括不同的身份、访问策略、角色和管理权利。缺乏集中的供应和治理加剧了内部威胁和特权升级的风险。
• 不一致的安全控制和支持。安全工具并非在所有公共云中兼容，导致功能存在差距或需要部署多个工具。这是低效的，可能会增加漏洞。云提供商之间的安全基线可能有所不同。缺乏标准化的加密、日志记录和政策执行，企业需要做出更多努力来正确调整安全工具，例如SIEM。
• 事件响应的复杂性。管理多个平台可能会降低可见性，使跨云取证和日志相关性更加困难。当用户和云提供商之间存在冲突的治理结构和不一致的安全责任时，遏制威胁也具有挑战性。
• 监管压力。云提供商停机可能会导致对你企业处以罚款。还应考虑加强对数据驻留、供应链安全、AI治理和运营弹性的审查。多云使合规性变得更难，而不是更容易。

为什么多云不可持续

在过去，多云策略有助于防止供应商锁定，并协助成本谈判。在使用云计算或存储时，这效果很好。AI正在将公共云转变为高度专业化的AI模型和代理，通过使用非标准化的AI工具，例如Model Context Protocol。这给现有的IT和网络安全团队带来压力，因为他们既需要处理日常运营，还需要提升技能，以应对每个新云环境。

每个平台都有特定的技能要求，随着无数云平台工具的不断扩大，这造成技能差距。安全和云工程师无法在三个或更多平台上保持深厚的专业知识。然而，组织继续将专业知识传播得太稀薄，无法有效。即使试图提高效率，企业也经常做相反的事情——导致运营效率低下。随着被监控网点数量的增加，平均检测时间和平均响应时间都会增加。随着一个问题得到解决，其他问题可能会涌现，随着时间逐一进行故障排除。

现有工具没有在所有云平台上提供支持或功能对等，因此需要管理多个SIEM、端点、数据平台和DevOps管道。工具重复可能导致高开销和效率不一致。

由于云团队不断监控多个平台并解决问题，由于缺乏工作与生活的平衡，倦怠和人员流失率可能会增加。在不同环境中保持标准可能具有挑战性。云工程师的需求量很大，美国劳工统计局报告称，到2034年，职业增长率为15%，高于平均水平。这为精疲力竭的员工创造机会，以离开公司。

通过标准化实现安全

简化并不一定意味着迁移到单个云。在云提供商内定义可接受的使用至关重要。你企业的目标应该是“减少模式，不一定减少云”。你需要合理化架构，在不排除选择的情况下。

建立用例模式，而不仅仅是选择云提供商。例如，医疗用例可以部署在云提供商A上，因为其安全控制支持HIPAA法规。相比之下，运营效率用例是在提供商B中设置的，因为不需要个人身份信息、付款或受保护的健康信息（PHI）。如果在提供商B中检测到PHI，定义这些用例还将简化滥用监控。

围绕你的核心平台进行整合。例如，对于存储、计算和虚拟机等商品工作负载，寻找更少的提供商。然后选择专门的云，如果它们提供类似于上述示例的差异化。

在考虑网络安全时，集中你的IAM，这至关重要。转为统一的企业身份策略，使用单点登录（SSO），并强制执行其他安全措施，例如多因素身份验证（MFA）、零信任、标准化加密要求和日志记录配置。

在确定如何管理所有云时，创建“云控制平面”，并将其应用于所有现有平台。这减少对每个云控制台和自定义集成的依赖。这将有助于建立集成层，以支持治理、可观察性和政策执行。

成本是第二个指标

保护和运营多个云平台的成本经常被忽视，因为它跨越了多个组织成本中心。如前所述，并非所有工具都跨云平台兼容，因此需要购买多个提供类似功能的产品。根据平台用例最小化控制具有以下成本优势：

• 消除冗余服务和工具。
• 通过减少平台的多样性来降低人数压力。
• 实现更准确、更可操作的FinOps。
• 减少复杂性驱动的事件和停机时间。

CIO的云简化路线图

首席信息官和首席信息安全官必须合作，为其企业构建云和AI简化战略。企业必须建立护栏，基于商业用例，而不是“什么都可以”的方法。明确定义的战略可以为企业赋能，下面是可遵循的路线图：

• 评估当前状态。确定多云问题的规模。发现和盘点云、工作负载、数据流和工具。定义受批准与未经批准的云使用，并建立控制措施来制裁未批准的云。
• 定义简化原则。确定无需额外投资即可实现什么。确定哪些网络安全工具在你的云环境中运行，并在符合监管或业务要求的云平台上进行标准化。为了减少攻击面，对不增加业务价值的工作负载进行合理化。
• 在差异化低的地方整合服务。锁定商品云服务的成本。存储、计算、网络和数据库等都应部署在成本最低的平台上
• 协调安全和云工程团队。与云平台团队建立云和AI卓越中心，以最大限度地提高效率并减少倦怠。构建可重复使用的云架构模式，而不是将每个工作负载视为“一次性”，并整合IT和网络安全治理。
• 部署跨云护栏。为了保持一致，如果可能的话，整合工具。部署策略即代码和自动化平台交付，其中包括网络安全工具。实施云安全态势管理计划，以验证和持续监控控制，集中和自动化身份配置和身份管理，并尽可能使用基于角色的访问控制和SSO。
• 重新架构的复原力。为了防止未来的中断影响你的企业，请开发和记录标准化的、与平台无关的参考架构。记录并执行故障转移、业务弹性和恢复正常的运营流程。
• 关注业务价值。用董事会理解的术语传达成功。通过既定的平台用例加速云和AI的采用。通过仅对适用平台实施控制来改进合规工作，并通过减少攻击面和优化工具来防止网络安全事件。请确保从所需工具和人员数量方面，让企业了解潜在的成本节约。