企业在采用混合云环境时遇到三大挑战：

和山小霸王

首先，混合云意味着混合的复杂性。云计算服务提供商产品的异质性为试图解决和执行同一套安全策略的团队带来了巨大的复杂性。代理和虚拟设备可能难以管理，分割规则可能会造成流量堵塞或允许太多的参与者。数据和工作负载可移植性会增加这些风险，如人为错误增加的可能性（例如，无意中公开存储的数据）。
对于没有监管约束和环境的小公司来说，这种复杂性可以减轻。但对于需要一致的密钥管理（跨云，也可以在单个提供商中的多个区域）或独立于基础架构提供商的IT组织来说，这种复杂性难以克服。
其次，保护是不完整的。在数据中心，身份访问，网络和存储的安全策略通常与基础架构相关。使用与IP地址绑定的VLAN，子网和ACL实现网络策略。保护资产通常依赖于限制对存储硬件的网络访问，而不是保护数据本身。但随着数据中心变得越来越混杂，企业失去对基础设施的控制，外围和网络防御措施就变得不足够了。微分段提供额外的保护，但网络只是企业工作负载的一部分。
在没有物理控制的情况下，IT安全需要找到其他方式来对部署在云上的工作负载进行逻辑控制。
第三，确保透明、可证明的控制是一件头痛的事。采用混合云扩展了审计范围，因为IT必须管理各种安全态势。在多个环境中建立可见性和验证控制是困难的，IT了解数据访问的方式和位置有限。
此外，对于受特定监管关注的公司（例如HIPAA），供应商提供的加密通常会引起行业的反对。在大多数审计中，对数据的验证控制是必不可少的，但在混合云上很难保证。
最后，在不破坏云的自助服务模式的情况下，保持IT和开发组织之间的职责分离是困难的。IT安全必须提供严格的控制隔离，干扰开发人员自助服务采购以保护资源，或者在开发团队中实现敏捷性，但风险由配置基础架构资源的团队关闭。