年度云安全状态检查到底该如何进行?

【】又是新的一年，又是新的一天。不过在做好迎接新生活的准备之前，我们首先应当回顾过去一年中云安全领域发生的种种事端。尽管有所改善，但2017年中需要学习与改进的地方还有很多。因此，我们将在今天的文章中对此进行深入探讨。

[[180915]]

云安全性的巨大转变：从***有到必须有

几年之前，安全性还被普遍视为一种保险性举措——有***，但绝非优先事务。过去一年的种种教训让我们对此有了新的认识，这主要是由于：

安全威胁渗透度进一步提升。

企业被迫重新审视迁移至云环境后的安全问题。

众多企业对云计算感到紧张，而安全保障是解决这种焦虑的***方式。

很明显，要对云环境中的数据加以保护，大家需要使用针对云构建的安全方案。越来越多的企业开始高度依赖于云安全机制，但这又带来了新问题……

传统陋习依然存在

安全性是云计算的必备因素，但只有配合正确的实施举措才能发挥作用。在这方面，我们需要立足以下两个角度做出调整：

1.过度依赖手动工具与流程

企业目前面临的***难题之一是何时放弃放手。当员工离开公司后，我们需要确保将其账户从系统当中删除，从而消除一切可能存在的潜在安全威胁。事实上，内部人士已经成为一类切实存在且不断增长的风险来源。

考虑到这一严重风险，我们需要借助自动化手段进行用户配置清退，从而在云安全领域建立起一套精确、一致且端到端的处理流程，确保每一次任务执行都能落实到位。

举例来说，自动化机制能够在警报系统中发挥出色的速度、准确性与安全性优势。不少企业仍然要求安全人员手动处理警报信息，然而云环境下的警报通知往往成百上千，根本不是人力方式所能应对。因此，利用自动化方案进行优先级审查与警报过滤不仅能够加快事件检测与响应速度，亦可显著降低人为错误与威胁遗漏数量。

2. 草率上马DIY型安全方案

面对不计其数的云安全解决方案，令人惊讶的是许多企业仍然试图DIY自己的安全方案。事实上，这种作法耗时、昂贵、充满风险且大多毫无必要。

虽然您的云环境有其特殊性，但其绝非***。作为企业，大家应当将开发人员的精力引导至构建工具及增加业务价值身上，而非忙于开发所谓自主型安全体系。

另外需要注意的是，安全保障是一门复杂的学科，而开发理想的保护方案需要大量专业知识。现实情况是，大多数企业的安全问题存在相当程度的共性，完全可以通过定制化安全策略配合现成工具与咨询服务的方式解决。

2017年安全规划

着眼于新的一年，我们作为防守方该如何占得先机并保障安全?以下问题值得大家认真思考 ：

如果已经选择云服务，您的安全水平处于何种程度?

您的全部设备是否都已经得到检查?您如何确定这一点?

云服务是否真正适合您的主要安全目标并可解决相关安全漏洞?

您所在企业的管理层是否支持您的安全策略?他们是否理解安全性的价值以及目前的实施进度?

上述因素非常重要，甚至直接决定着您所在企业的安全性水平。而作为可行举措，我们应当立足以下三点推进安全性升级。

1. 制定策略

今年，大家的目标应该是在聪明与易行之间找到平衡点。即安全水平的实现难度应该符合当前技术水平，而非盲目引入高复杂度因素。

为了实现这种平衡，大家应当立足宏观进行分析：

企业的安全目标

企业面对的实际风险

实现安全覆盖的障碍所在

找到答案之后，大家可以优先考虑选择合适的工具、流程及工作流以满足这些条件。

2. 定期进行自查

不要过度关注新闻报道中的那些大规模安全事故。相反，着眼于企业内部并整理出风险***的潜在威胁。事实上，新闻中公布的状况往往永远不会发生在您所在的企业中，因此别为无谓的问题分神。

3.利用指标进行评估与改进

数字往往是确定企业当前安全水平的***载体，亦可帮助我们制定可行目标并最终改善安全态势。举例来说，大家如果能够查看用户的日常活动，则意味着也能够以同样的方式发现一切危险行为并加以应对。举例来说，您可以追踪经常登录非安全Wi-Fi网络的员工并发出提醒，或者快速进行用户账户清退以保证离职员工不会影响正常业务。

利用这些数据，我们可以与开发团队进行数据驱动型讨论，从而了解应当如何改进安全态势、减少错误并降低风险。最有说服力的讨论方式应该是“立足于这部分数据，我们希望让这项指标随时间推移逐步得到改善。大家觉得可行吗?”这将让对话从对抗转化为基于客观现实的协作尝试，而这正是DevOps文化的核心主旨。

原文标题：Your Yearly Cloud Security Health Check，作者：Tim Armstrong

【译稿，合作站点转载请注明原文译者和出处为.com】