当你玩得开心的时候，时光飞逝。今天我注意到我已经两年没有在这个平台上写博客了。我唯一的借口是我一直很忙……

2019年5月，我在多云团队中负责SAP公共云环境的网络和安全运营。SAP内部的多云团队是公司中使用公共云提供商的任何人与这些提供商本身之间的主要接口。以前一直担任安全方面的顾问或咨询角色，这是一个非常好的机会，可以直接为公共云中的SAP安全做出贡献。最令人惊喜的是，IIoT/OT安全方面的经验在这个职位上被证明是非常有益的，还有我以前在分析和数据可视化、咨询和技术支持方面的经验。以一种奇怪的方式（但很好的方式），我觉得到目前为止，我在科技界的整个职业生涯已经引导我为这个角色做好了准备。公共云基础设施的使用在过去几年中急剧增长，每年部署的资源大约翻了一番。这一规模确实非常惊人：SAP目前在8000多个活跃云帐户、AWS、Azure和GCP以及阿里巴巴云、AWS和Azure中国运行着750多万个云资源。这是相当可观的，但当你考虑到这个规模是我们今年1月的两倍多，而且我们预计在不久的将来每年都会翻一番时，你会更加印象深刻。

正如你所想象的，这个规模给我们带来了重大的安全挑战。不仅是规模和增长率，还有各种工作负载：面向客户的SaaS应用程序，当然还有开发和测试环境，还有教育和培训系统、面向内部的应用程序、实验室和沙盒环境，或者第三方软件解决方案。SAP中的每个董事会区域都以某种方式使用公共云，有些董事会区域在技术上比其他董事会区域更能适应这种环境。

同时，公共云的安全责任在IaaS提供商和使用IaaS服务的供应商之间共享，甚至在内部不同的SAP团队之间共享，增加而不是减少安全性复杂性。这里可以看到AWS的一个例子。完全理解这意味着什么是至关重要的，因此我们避免任何"我以为已经处理好了吗？"。虽然公共云提供商负责云的安全，但他们的客户负责云的安全。也就是说，IaaS提供商确保他们的服务是安全的，他们的数据中心是安全的，等等。但是IaaS服务的消费者，大数据支持，在这种情况下，我们在SAP中，负责云帐户内运行的所有内容的安全配置。

这不是一个微不足道的任务。在媒体报道中，有无数的例子表明，黑客攻击和数据泄露是由于无意中对云资源进行了错误配置造成的，其中最著名的可能是"首都一号"事件，十大淘客软件排名，至少在北美是如此。SAP拥有由我们的SAP全球安全组织（SGS）规定的严格政策和强化程序，我们使用公共云基础设施扫描SAP中的各个团队是否遵守这些政策。但现实情况是，公共云基础设施的安全实际上非常困难，而且是专家的工作。每个公共云提供商的工作方式都不同，因此在一个提供商身上获得的技能不会立即转化为另一个提供商的技能。同时，公共云账户的默认值通常是为了方便注册，而不是为了安全——这是可以理解的经济原因。这使得尽早解决潜在的安全问题变得更加重要。

你可能听说过"左移"和DevSecOps。在SAP，我们现在将这些原则应用于公共云安全和策略遵从性。通过在生命周期的早期关注安全性，并允许在CI/CD管道中进行连续的安全测试，可以尽早发现安全问题并更容易地纠正，而不仅仅是在生产前的安全质量关口（这可能会危及计划的上线），或者在解决方案已经部署并通过整个公共云环境的定期合规性扫描进行检测之后。

2020年，多云团队与SGS紧密合作，发布了一套供内部使用的工具，我们称之为"默认安全"云帐户，旨在使公共云的安全性和策略合规性变得容易，同时更难出错。它们由三部分组成：

"预防性控制"作为组织策略在每个公共云提供商平台上实施（如果可用）"detective controls"作为法规遵从性控制在docker容器中实现，允许SAP团队在部署代码之前对其进行扫描，以及对整个SAP公共云环境和所有四个公共云提供商进行每日集中扫描"参考体系结构构建块"，由每个云提供商的参考体系结构指南组成，移动物联网，说明如何实现对策略的遵从性，更有用的是：公共云资源的基础结构作为代码（IaC）模板，这些模板"默认安全"，并根据检测控件进行测试，并且有保证为了与SAP的政策和强化程序保持一致

我最喜欢的公共云架构的一个方面是关注"把你的基础设施当成牛，而不是宠物"。每一个公共云资源最终都是一个可以自动化的API调用，而不是某个人从零开始构建的一些宝贵的服务器，甚至可能给它起了一个可爱的名字。通过IaC脚本可以指定所需的状态，并通过运行脚本创建基础结构。通过向SAP内部团队提供这些可以根据自己的需要轻松修改的构建块，企业软件正版化，他们不必自己解决这个问题，节省了大量的时间，而不是花在为解决方案开发新功能上。