您的公司已经决定采用云——或者它可能是最早决定依赖虚拟化环境的公司之一。无论哪种情况，都必须管理云安全。你是怎么做到的?

在查看供应商营销材料以寻找完美的技术解决方案之前，让我们先退一步，从治理的角度来考虑它。在您这样的企业中，有许多业务功能和部门具有不同程度的自治权。

您是信任他们管理特定于业务流程的风险，还是选择通过集中设置安全控制目标和标准来减轻他们的这种负担?或者介于两者之间?

中心模型

集中管理安全性允许您统一地规划您的安全策略，并跨所有部门指导策略。当目标是实现跨业务功能的一致性时，这尤其有用。当您的客户、产品或服务在整个公司中是相似的时，它会有所帮助，但即使不是这样，集中化的治理和明确的问责制也可能通过简化流程和节约成本地使用人员和技术(如果组织在一个中央池中)来减少工作的重复。

如果其中一个部门在财务上陷入困境或利润较低，集中的方法可以确保总体风险仍然得到适当的管理，并且不会忽视安全性。在考虑可能影响整个公司的安全事件(例如错误配置的访问权限)时，这一点尤其重要。

一般来说，对事件的反应不仅可以从报告的角度加以简化，而且可以通过确保适当的程序得到适当的监督加以简化。

当然，也有一些缺点。在制定统一策略的过程中，您可能会遇到这样的情况:它失去了吸引力，现在被认为过于高级，与实际的业务单元需求脱节。因此，来自业务涉众的购买可能很难实现。

让我们探索另一种选择——分散模型。

分散模型

当您的公司部门拥有不同的客户、不同的需求和业务模型时，这种方法是最佳的应用。这种情况自然需要更细粒度的安全需求，最好设置在业务单元级别。

在这个场景中，每个部门都被授权开发自己的一组策略和控制。这些策略应该与与该团队相关的特定业务需求保持一致。这允许地方调整和提高自治水平。例如，石油公司的上下游业务由于涉及的活动的性质而有很大不同的需求。从地下开采和开采原材料与经营加油站不同，加油站更像是零售企业，而不是由工业控制系统主导的企业。

另一个例子可能是通过一系列兼并和收购而成长起来的公司，在这些兼并和收购中，被收购的公司保留了一定程度的个性，并在母公司的保护伞下作为企业经营。有了这种程度的分散化，资源分配就不再是集中管理的，再加上购买的增加，就可以对安全方案有更大的所有权。

这种模式自然有局限性。在确定集中方法的好处时，重点强调了这些好处:潜在的重复工作、不一致的策略框架、在响应企业范围的事件时遇到的挑战，等等。但是，有没有一种方法可以将两个世界的优点结合起来呢?让我们来看看混合模型是什么样子的。

混合云模型

可以通过建立一个治理主体来实现中间地带，该治理主体为公司整体设置目标和目标，并允许部门选择实现这些目标的方法。这种集中定义的安全结果有哪些例子?遵守相关法律法规是显而易见的，但这一点更为微妙。

这里的目的是确保安全性支持业务目标和策略。混合模型中的每个部门依次决定它们的安全工作如何有助于总体风险的降低和更好的安全状态。

这意味着设置安全控制的基线，将其传达给所有业务单元，然后逐步展开培训，更新策略，并设置风险、保证和审计流程以匹配。然而，在制定这一基线时，应考虑各部门的投入，因为确保采用这一基线是必不可少的。

当一个全面的控制框架被开发时，部门被要求提出一组特定的控制来满足他们的业务需求，并考虑到独特的业务单元特征。接下来应该进行差距评估，理解与基线框架的潜在不一致。

在云的上下文中，分散和混合模型可能允许不同的业务单元根据个人需求和成本效益分析选择不同的云提供商。他们可以更进一步，关注不同的解决方案类型，比如SaaS而不是IaaS。

如上所述，业务单元可以自由决定安全控制的实现方法，前提是它们与总体策略保持一致。然而，法规遵循监视职责最好是共享的。业务单元可以管理实现的控件，但是应该与报告的中心功能相连接，以便就一致的度量达成一致，并消除潜在的偏差。这种方法类似于许多组织中用于有效管理风险的三条防线。该模型表明，部门本身首先拥有和管理风险，安全、审计和保证功能分别构成第二道防线和第三道防线。

下一步会怎么样

我们已经研究了三种不同的治理模型，并讨论了它们与云相关的优缺点。根据组织的不同，选择可能相当明显。它可能会自然而然地从公司运营的方式中产生。您所需要做的就是适应组织文化，并相应地采用云治理方法。

然而，这篇博客文章的目的是鼓励您在业务上下文中考虑安全性。不要仅仅根据听起来不错或您过去所做的事情来选择治理模型。相反，你应该分析公司，与人交谈，看看什么是有效的，并准备好调整行动的方向。

如果选择的治理结构是错误的，或者更糟的是没有定义，这可能会扼杀而不是启用业务。相信我，这是你最不想做的事。

准备好倾听:选择上述模式之一的决定不一定是最终决定。它可以作为持续改进和反馈周期的一部分进行调整。然而，它始终必须与业务需求保持一致。

注：作者Leron Zinatullin   编译：牧荑