数据蔓延：云数据挑战

用于存储和管理数据的传统安全方法已经不足以满足当今云世界的需求。为什么？云与敏捷云开发势不可挡的力量正在推动企业构建、部署和运行应用程序的方式发生重大变化。因此，当今的运营需求要求对数据的管理和保护方式进行范式转变。

数据蔓延（也称为数据传播/分散）是利用云服务的组织面临的最大挑战之一。事实上，根据CSC 的一项研究，只有 33% 的组织能够在所有云中维护其数据的单一视图，并且只有 60% 可以安全地在云提供商之间共享数据。

为了应对云数据蔓延的挑战，组织必须实施一种数据控制策略，以帮助从一个地方管理多个应用程序和云存储提供商。在云环境中，制定数据管理计划尤为必要，以便在所有云环境中拥有单一的数据视图，并确保只有经过授权的身份才能查看和使用特定信息。

在数据得到控制之前，企业可能会花费大量时间和金钱来减轻负面后果。事实上，他们平均可以在五年内花费 1600 万美元来管理数据蔓延。为了降低这种风险，IT 领导者应该了解四个非常重要的注意事项。

Gartner 假设，到 2025 年，80% 的企业将关闭其传统数据中心。事实上，10% 的组织已经拥有其云数据中心。许多组织正在根据网络延迟、客户群和地缘政治限制重新考虑应用程序的放置——例如，欧盟的通用数据保护条例 (GDPR) 或监管限制。

由于高资本成本，拥有旧数据中心的企业不想重建或建立新的数据中心。他们宁愿让其他人管理物理基础设施。Gartner 的 IT Key Metrics 数据显示，过去几年，用于数据中心的 IT 预算占 IT 预算的百分比有所下降，现在仅占总数的 17%。

根据2020 IDG 云计算研究，92% 的公司已经采用了云技术。IDG 分析预测，云技术将继续积极转变，并预测在 18 个月内，SaaS 将有 95% 的公司使用，IaaS 为 83%，PaaS 为 73%。还预测云计算预算正在增加，因为预计未来 12 个月内将有 32% 的 IT 预算分配给云计算。

如今，基础设施和运营 (I&O) 领导者面临着艰巨的挑战。他们已经了解了几十年的 IT 正在发生根本性的变化。在本地工作的传统安全方法不再适用于云。

RightScale表示，80% 的云公司都采用了多云战略，使用多个供应商，如亚马逊、微软、谷歌、IBM、甲骨文和阿里巴巴。此外，创建云帐户的便捷性和优势确保拥有多个 AWS 或 GCP 云帐户或 Azure 订阅成为常态。企业拥有数百个甚至数千个云帐户并不罕见。

我们还不知道每个企业在这么多不同的云上运行多少计算能力，但让我们做一些粗略的数学计算：

大多数企业拥有数百个 AWS 账户，许多企业拥有超过 1000 个（甚至 10,000 个）。我看到的数字表明，财富 500 强公司中有 83% 是公共云的消费者。如果是这样，那么这意味着截至今天，全球大约有 130,000 个企业规模的 AWS 云帐户，这些帐户仅在 AWS 中运行就构成了大量实例。

每个公司也有至少一个 Google VM 或 Compute Engine 实例的可能性也很大。我看到的数字表明，财富 500 强中有 49% 也是 Google Cloud Platform (GCP) 的用户。我认为可以安全地假设，如果企业拥有 AWS 账户，那么他们就有一个 GCP 账户。能够使用多个云是公司在需要时扩展其容量的同时利用一些冗余的一种方式。

如果我们做一些简单的数学计算：根据一组估计，来自两个提供商的 130,000 x 2 = 260,000 个云帐户总数可能比这个数字多得多。这些只是帐户，我们甚至还没有触及云中身份数量的表面层级。

任何阅读本文的人也可能很好地猜测有多少云帐户来自他们自己的公司，因此我们甚至不要尝试估计单个组织的员工可能有权访问的身份数量。我们只会说“让它成为一百万”。

选择有限的可管理数据存储（例如 Oracle、IBM 和 MS SQL）的日子已经一去不复返了。敏捷云开发方面的创新导致新数据存储选项激增，团队使用 Amazon MongoDB、Elasticsearch、CouchDB、Cassandra、Dynamo DB、HashiCorp Vault 等等。将这些添加到 AWS S3 和 Azure Blob 等对象存储中，不言而喻，新的企业基础设施没有“数据中心”的物理或逻辑概念。

对于容器编排，容器的典型生命周期为12小时。无服务器功能——已经被22%的公司采用——在几秒钟内来去匆匆。数据是数字时代的石油，但在这个时代，石油钻井平台转瞬即逝，数不胜数。EC2 实例、Spot 实例、容器、无服务器功能、管理员和敏捷开发团队是数不清的钻探数据转瞬即逝的设备。

难怪53% 的使用云的组织都在线公开了数据？虽然所有这些灵活性和敏捷性都有利于创新和灵活性，但它也带来了新的挑战。特别是，我们有一个跟踪和控制云数据以及可以访问它的内容。

我们的 Breach Watch 页面上列出了一小部分广为人知的云数据丢失事件示例，但我们可以确信，随着云平台的快速采用和新开发技术的持续有增无减，数据控制问题将会加剧。

当然，我们不仅仅有安全问题。PCI、HIPAA、欧洲的 GDPR、加利福尼亚的 CCPA、巴西的 LDPD、加拿大的 PIPEDA 等合规性要求要求对数据和这些控制的审计/报告进行广泛的安全控制。

随着云和敏捷成为主流，传统的数据中心和网络管理工具都停留在过去。以从业者为中心的云提供商工具也无法胜任这项任务。AWS、Azure、GCP 和其他云提供商中存在明显不同的身份和数据模型。访问控制列表、内联策略、组内联策略、角色内联策略、代入角色、切换角色联合和托管策略都会影响访问资源的内容。

我们必须了解多个云提供商身份和数据模型，并跟踪对主要 AWS、GCP 和 Azure 云平台中使用的第三方数据存储的访问。当公司需要跟踪跨多个云、大量云帐户和数千个数据存储的数据访问和移动时，该公司该何去何从？

目前已有需要的云技术为跨云帐户、云提供商和第三方数据存储的所有身份和数据关系、活动和数据移动提供完整的风险模型。服务重点是所有有权访问数据的实体的数据+身份——跨云提供商和第三方数据存储。最后，云技术在 DevOps 和安全团队之间架起了桥梁，以：

1、提高数据安全性并降低风险。用户配置风险和公共数据暴露风险都是跨云提供商、账户、国家、团队和应用程序报告的。

2、确保合规。数据主权、数据移动和身份关系都受到监控，以确保符合主权、GDPR、HIPAA和其他合规性要求。

3、提高 DevOps效率。云提供商管理模型通过数百个AWS和Google Cloud帐户以及Azure 订阅/资源组的集中分析和视图进行标准化。