CSP如何构建安全和云原生第三方安全

　　客户和潜在客户通常会问，是采用云平台自行开发和提供的工具更好，还是购买第三方产品更好。答案当然不是二元的。探究“第三方产品”的含义通常会揭示使用现有内部安全控制的愿望。

　　毕竟，熟悉的工具提供了一定程度的舒适性。不过，在进行技术决策之前，明智的做法是审查要求和现有工具。

　　安全工具盘点

　　快速自行检查：您现有的环境中有多少安全工具，它们降低了哪些风险？明白这一点是很有用的，但许多人还不清楚答案。迁移到云是一个将现有安全供应商和工具合理化的机会。在收集此类信息时，不要忘记列出每个工具解决的风险。毕竟，安全关系到管理风险。将此类信息与云提供商原生提供的功能配对 - 只有这样，您的团队才能准备好完成缺口分析。您的团队将能够在云提供商开发的工具和第三方构建的工具之间做出明智的决策，而不是猜测或选择看上去简单的选项。

　　重视要求，而非技术

　　在咨询中，客户首先询问的控制措施之一是防火墙或数据丢失预防（旧习惯很难改变）：

　　① 我们应该使用云中的现有内部 DLP 还是基于云的产品？

　　这个问题虽然很重要，但更多的时候表现出所关注的是技术而不是要求。如果我们先提出关于要求的问题，答案就会更清楚：

　　② 环境中的数据是否具有排除使用基于云的 DLP 的合规性要求？

　　这种对要求的关注对于 DLP 或任何其他安全工具都很重要。具体到防火墙，在旧的内部环境中，当谈到防火墙时只有一个选择：购买一种产品。现在，Microsoft Azure、Amazon Web Services 和 Google Cloud Platform 都有自己的防火墙产品。这些产品提供了类似于传统有状态防火墙的功能，但它们也缺乏与威胁情报源、反恶意软件和入侵预防方案的关键集成。也就是说，这些防火墙绝对有效 - 许多企业只是没有完全意识到，与他们内部已经拥有的防火墙相比，他们错过了么。

　　要求驱动的提问可用于各种安全工具：数据丢失预防、硬件安全模块、端点保护、身份和访问管理等。

　　总结：

　　CSP 构建的安全和云原生第三方安全

　　利用迁移到云的机会，使用要求驱动的方法对所有现有安全工具进行编目。在要求允许的情况下采用基于云的控制措施，并确保任何第三方产品都是真正的“云原生”产品，这意味着它们可以引入并利用云平台提供的丰富 API。安全方案必须采用原生 API 以及来自云服务提供商和第三方的控制措施组合，否则它可能会在未来限制开发人员和业务敏捷性。