您的公司已經決定采用云——或者它可能是最早決定依賴虛擬化環境的公司之一。無論哪種情況，都必須管理云安全。你是怎么做到的?

在查看供應商營銷材料以尋找完美的技術解決方案之前，讓我們先退一步，從治理的角度來考慮它。在您這樣的企業中，有許多業務功能和部門具有不同程度的自治權。

您是信任他們管理特定于業務流程的風險，還是選擇通過集中設置安全控制目標和標準來減輕他們的這種負擔?或者介于兩者之間?

中心模型

集中管理安全性允許您統一地規劃您的安全策略，并跨所有部門指導策略。當目標是實現跨業務功能的一致性時，這尤其有用。當您的客戶、產品或服務在整個公司中是相似的時，它會有所幫助，但即使不是這樣，集中化的治理和明確的問責制也可能通過簡化流程和節約成本地使用人員和技術(如果組織在一個中央池中)來減少工作的重復。

如果其中一個部門在財務上陷入困境或利潤較低，集中的方法可以確保總體風險仍然得到適當的管理，并且不會忽視安全性。在考慮可能影響整個公司的安全事件(例如錯誤配置的訪問權限)時，這一點尤其重要。

一般來說，對事件的反應不僅可以從報告的角度加以簡化，而且可以通過確保適當的程序得到適當的監督加以簡化。

當然，也有一些缺點。在制定統一策略的過程中，您可能會遇到這樣的情況:它失去了吸引力，現在被認為過于高級，與實際的業務單元需求脫節。因此，來自業務涉眾的購買可能很難實現。

讓我們探索另一種選擇——分散模型。

分散模型

當您的公司部門擁有不同的客戶、不同的需求和業務模型時，這種方法是最佳的應用。這種情況自然需要更細粒度的安全需求，最好設置在業務單元級別。

在這個場景中，每個部門都被授權開發自己的一組策略和控制。這些策略應該與與該團隊相關的特定業務需求保持一致。這允許地方調整和提高自治水平。例如，石油公司的上下游業務由于涉及的活動的性質而有很大不同的需求。從地下開采和開采原材料與經營加油站不同，加油站更像是零售企業，而不是由工業控制系統主導的企業。

另一個例子可能是通過一系列兼并和收購而成長起來的公司，在這些兼并和收購中，被收購的公司保留了一定程度的個性，并在母公司的保護傘下作為企業經營。有了這種程度的分散化，資源分配就不再是集中管理的，再加上購買的增加，就可以對安全方案有更大的所有權。

這種模式自然有局限性。在確定集中方法的好處時，重點強調了這些好處:潛在的重復工作、不一致的策略框架、在響應企業范圍的事件時遇到的挑戰，等等。但是，有沒有一種方法可以將兩個世界的優點結合起來呢?讓我們來看看混合模型是什么樣子的。

混合云模型

可以通過建立一個治理主體來實現中間地帶，該治理主體為公司整體設置目標和目標，并允許部門選擇實現這些目標的方法。這種集中定義的安全結果有哪些例子?遵守相關法律法規是顯而易見的，但這一點更為微妙。

這里的目的是確保安全性支持業務目標和策略。混合模型中的每個部門依次決定它們的安全工作如何有助于總體風險的降低和更好的安全狀態。

這意味著設置安全控制的基線，將其傳達給所有業務單元，然后逐步展開培訓，更新策略，并設置風險、保證和審計流程以匹配。然而，在制定這一基線時，應考慮各部門的投入，因為確保采用這一基線是必不可少的。

當一個全面的控制框架被開發時，部門被要求提出一組特定的控制來滿足他們的業務需求，并考慮到獨特的業務單元特征。接下來應該進行差距評估，理解與基線框架的潛在不一致。

在云的上下文中，分散和混合模型可能允許不同的業務單元根據個人需求和成本效益分析選擇不同的云提供商。他們可以更進一步，關注不同的解決方案類型，比如SaaS而不是IaaS。

如上所述，業務單元可以自由決定安全控制的實現方法，前提是它們與總體策略保持一致。然而，法規遵循監視職責最好是共享的。業務單元可以管理實現的控件，但是應該與報告的中心功能相連接，以便就一致的度量達成一致，并消除潛在的偏差。這種方法類似于許多組織中用于有效管理風險的三條防線。該模型表明，部門本身首先擁有和管理風險，安全、審計和保證功能分別構成第二道防線和第三道防線。

下一步會怎么樣

我們已經研究了三種不同的治理模型，并討論了它們與云相關的優缺點。根據組織的不同，選擇可能相當明顯。它可能會自然而然地從公司運營的方式中產生。您所需要做的就是適應組織文化，并相應地采用云治理方法。

然而，這篇博客文章的目的是鼓勵您在業務上下文中考慮安全性。不要僅僅根據聽起來不錯或您過去所做的事情來選擇治理模型。相反，你應該分析公司，與人交談，看看什么是有效的，并準備好調整行動的方向。

如果選擇的治理結構是錯誤的，或者更糟的是沒有定義，這可能會扼殺而不是啟用業務。相信我，這是你最不想做的事。

準備好傾聽:選擇上述模式之一的決定不一定是最終決定。它可以作為持續改進和反饋周期的一部分進行調整。然而，它始終必須與業務需求保持一致。

注：作者Leron Zinatullin   編譯：牧荑