不过，随着混合云和多云战略的不断采用，仅仅保护云中的资产是不够的。组织还需要保护进出云平台以及云平台之间和云平台内部的数据途径。外部托管的服务和应用程序并不是孤立的，它们可以连接到企业的运营环境。对扩展生态系统的一部分带来风险就会对其整体带来风险。

此外，主要的云计算提供商只提供有限的内部部署安全控制措施。这些通常包括安全组、Web应用程序防火墙和日志流。但是，这些安全控制措施本身不足以抵御网络攻击和高级持续威胁(APT)。这存在许多漏洞，尤其是那些使网络攻击者在云中和云平台之间横向移动几乎完全不受阻碍的漏洞。

全方位的威胁

然而，组织可以跨混合生态系统保护业务，在网络攻击者能够触及业务关键资产之前就阻止其恶意攻击。云计算安全战略需要解决四个潜在的问题：

• 从一个云平台转到另一个云平台：网络攻击者在侵入一个云平台环境之后，其目标可能是转到另一个云平台或在同一云计算基础设施中分段的其他系统。
• 在云平台资产之间：例如，尝试获得更高的特权以访问关键服务，例如存储或配置资产;或破坏应用程序服务器(例如Tomcat)，以攻击其各自连接的云计算数据库。
• 从组织网络到云计算网络：恶意行为者可能试图捕获内部DevOps团队使用的Microsoft Azure凭据，以获得对云计算系统的更高特权访问。在进行这项工作之前，可能需要在组织网络内进行大量横向移动以到达DevOps机器。一旦进入Azure环境，网络攻击者就可以开始努力在系统和服务之间移动，寻找有价值的数据以及特权用户和角色。
• 从云计算到内部部署资产：在这种情况下，恶意攻击者会使用多种技术(例如暴力攻击)来破坏面向公众的Web应用程序服务器，并将其作为获取后端企业系统凭据的工具。一旦网络攻击者获得访问权限，他可能最终将目标锁定在内部部署数据库上，并希望从云平台连接内部部署环境，或者可能是有拥有Azure 访问权限的具有恶意的内部人员试图转移到另一个目标。

为了打击网络攻击者，这种方法仍然很常见：发现、监视和消除连接和凭证违规行为，同时提倡基于端点的欺骗策略，在整个网络的端点和服务器上散布对网络攻击者有用的伪造对象。现在还提供了一些新功能，可以解决针对云计算环境中的许多挑战，防止网络攻击者移动到任何地方。

广泛的欺骗和更高的可见性

以下优秀实践将使安全团队能够在云生态系统中获得更大的可见性和潜在的漏洞。