云安全你需要问的九个核心问题
作者:计算机世界 2022-05-20 08:47:42
云计算
云原生 企业往往缺乏对云环境是否安全的核心洞察力。以下是企业领导需要问的 9 个问题,同样也是负责云安全团队在之后的服务中需要回答的。
1.我们的云环境合规性如何?
没有一个在云中运行的企业组织的环境是100%符合监管和安全政策的。但是,那些正确处理云安全的企业清楚地知道他们的环境在哪些方面符合规则,哪些方面不符合。他们可以确保的是,发生的例外都在规则之外,而且根据他们自己的优先级排序,再使一切符合规则。
你应该在任何时候都清楚你的云环境的安全性和合规性如何。负责云安全的团队应定期审查企业内部的安全制度是否完善,以确保它们可以解决你的案例和新兴的攻击向量。要了解你的团队发现不符合要求的云基础设施的过程,他们制定的补救程序以及解决时长等。
2.我们识别并消除了多少漏洞?
你的云安全状况不是一成不变的,随着你的团队越来越善于识别和修复漏洞,它会随着时间的推移而得到改善。你应该了解你的云环境中存在多少错误配置以及每天修复多少个漏洞。
由于这项工作通常涉及大量的手动工作,如监控工具和票务系统,因此你会希望利用自动化来帮助你的团队解决云环境中所涉及的复杂性。与具有专业知识领域的云安全专家合作,了解当前主要的云漏洞如何产生,并利用这些知识实现架构即代码,用于自动检查企业的云基础设施是否存在相同的情况。架构即代码旨在检查其他代码和运行环境中是否所需。它使所有云计算的利益相关者能够安全地操作,而不会对规则以及如何在软件开发生命周期的两端进行应用产生歧义或分歧。
3.通过配置部署,我们消除了多少漏洞?
了解安全团队在云环境中发现并修复了哪些漏洞,只是整体的安全问题中的一部分。你还想知道团队通过采取哪些主动措施来减少部署错误配置的发生频率。如果没有把云安全前置,那么就会有不间断的云漏洞流入你的环境,并且这是一场无休止的打地鼠游戏。
你的团队是否在持续集成和持续交付 ( CI/CD )路径中建立安全机制?你的团队是否在检查 infrastructure as code (一种以编程方式构建和部署云基础设施的方法)以便发现发现和修复部署前的错误配置,并总结这样做在什么时候是更快、更简单、更安全?如果这里的答案是“否”,则可能是架构即代码和 CI/CD 路径尚未被采用。但如果这些都在使用,至少应该有一个计划将这些安全问题纳入流程。
4.我们是否保证了cloud API 网络层的安全?
所有云计算漏洞都遵循相同模式:网络层被破坏。应用程序编程接口 (API) 是云计算的主要驱动力;可将它们视为“软件中间人”,允许不同的应用程序之间进行互动。API 网络层是用于配置和操作云的 API 的集合。
黑客确实会寻找配置漏洞。不幸的是,安全防御技术仍然落后于黑客技术,因为许多供应商的解决方案不能使他们的客户免受来自云控制平面的攻击。坦率地说,他们中的大多数人更在乎如何让高管和安全团队有更好的管理体验——直到他们被黑客入侵。这是非常常见的安全闹剧。
5.安全给生产力拖了多少的后腿?
云与创新速度息息相关,而安全性是影响团队发展速度和数字化转型的首要因素。应用程序开发人员是否在等待他们需要部署的基础设施?DevOps 团队是否在等待对他们的基础设施的安全性进行审批?你的云计算工程师是否在合规性上耗费大量时间,而他们本可以为公司和客户创造更多价值?
定期测量开发人员和 DevOps 的吞吐量将有助于识别由于安全流程不足而导致的延误,而这些延误会拖累生产力和士气。
6.我们如何表述安全策略?
这个问题有两个答案:一个是用人类的语言编写并由人类审查,另一个则是将策略即代码编写。如果答案是前者,那么你的云环境就无法保证足够的安全性。人工审查到生效执行需要一定时间,而云漏洞被利用只需几分钟。并且人为错误和编译差异的风险始终存在。
实现了策略即代码,机器每次都会随时随地以同样的方式准确解释策略,这意味着你可以持续评估更多的云基础设施,这远远胜于人海战术。如果安全策略的应用需要从一种部署更改为另一种部署,你可以将这些特例转成代码,这样一切都有迹可循。当你在实施安全自动化时,可以在开发或部署中发现并修复问题,之后再投入生产。
7.我们对“零日攻击”的处理能有多迅速?
今年早些时候的 Log4j 漏洞让各地的安全团队争相响应。“零日攻击”要求团队快速准确地评估漏洞存在的位置及严重性,只有这样才能及时响应和补救措施。
团队不仅要能够快速识别应用程序的漏洞,而且还要评估每个漏洞所能带来的潜在伤害,以便根据严重程度确定修复的优先排序。
8.所有团队都具备成功所需的条件吗?
在企业安全中没有孤岛。保障信息安全需要一种跨越团队和成本的综合方法,这需要管理层的支持和可观的预算经费才能实现。保障安全性的成功取决于管理层的支持以及在预算和时间上进行适当投资。
9.失败了会怎样?
除了 CISO 外,我很少看到高管真正问自己这个问题。这并不难想象,想想 Imperva (一家以安全产品为主的公司)的云泄露事件,最终导致 CIO 的下台。然后是 Capital One 的违规行为,这到目前为止仍是大型金融机构中最严重的泄露事件之一。还有今年年初的 Twitch 泄漏事件,不仅影响了 Twitch 自身,还波及到母公司亚马逊。这与巴顿将军击败隆美尔将军不同,商界领袖不会有任何胜利,只能是不断寻求避免失败。
云安全是一项永恒的事业。你需要制定一条规定,要求持续报告企业的云安全状况。如果你不想每天都和下面这些问题做斗争的话:正在做什么来识别和修补漏洞、上周/上个月修复了多少漏洞,你在哪里可能暴露于能使你成为新闻头条的漏洞当中,那么你就需要主动回答这些问题。
来源:www.infoworld.com
微信编译:Viki
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/271743.html<
