This post is also available in: English (英語) 简体中文 (簡體中文) Nederlands (荷蘭語) Français (法語) Deutsch (德語) Italiano (義大利語) 日本語 (日語) 한국어 (韓語) Español (西班牙語)
在與數百位客戶合作的經驗基礎上,我們開發出 5 大雲端安全策略。雖然並非盡善盡美,但如果使用得當,它能夠幫助您的團隊擬定全面的雲端安全策略。
圖 1:5 大雲端安全策略
對環境缺乏足夠的認識,被認為是因人為錯誤導致事故發生的主要原因之一。– Nullmeyer,Stella、Montijo 和 Harden,2005 年
1.瞭解雲端環境,取得深入的可視性。
簡化雲端安全性與合規性工作的第一步,是瞭解開發人員和業務團隊目前如何使用雲端。首先需要瞭解影子 IT 對雲端的使用情況,但還不能僅僅滿足於此。遵循 80/20 法則,您的團隊可以確定需要首先關注的雲端平台。但是,安全團隊不僅要瞭解正在使用哪些雲端平台,也要瞭解在其中執行的內容。這就是雲端供應商的 API 發揮作用之處。
API 是使得雲端與大多數內部部署環境不同的關鍵技術之一。您需要始終掌握雲端環境中發生的情況,這不僅需要瞭解貴公司正在使用的雲端應用,也要運用雲端供應商的 API 持續追蹤直至中繼數據層的所有變化。
2.設定防護措施,自動防禦最嚴重的雲端錯誤設定。
問問自己,哪些設定 (錯誤設定或反面模式) 在我們的環境中不應該存在?例如,數據庫從網際網路直接獲得流量。這是「最不理想的做法」,但 Unit 42 的威脅研究指出,有 28% 的雲端環境中存在這種情況。隨著雲端安全計劃日趨成熟,有必要擬定初步的安全措施並逐步進行擴展。在此提出兩項重要注意事項:建立自動化防護之前,強烈建議首先進行小規模的試驗,確保不會產生意料之外的結果 (例如,自我造成的拒絕服務)。與開發團隊密切合作。如果沒有開發團隊的支援,請勿嘗試實作自動化防護。從一開始就與開發團隊合作,從基礎開始,為未來的成功奠定基礎。
3.標準是自動化的前提條件。
許多團隊在沒有建立標準的情況下就開始談論自動化。妥善的做法是隨時間推移,逐漸將 80% 的目標自動化。隨著在計劃中完成標準訂定,自動化的工作自然水到渠成。除非是新創公司,否則不要期待在 90 天內即可完成從無自動化到全自動化的轉換。企業通常需要至少九個月才能完成這個過程。
4.培訓和聘用編寫程式碼的安全工程師。
與大多數傳統的數據中心不同,公有雲環境是由 API 驅動。在雲端中進行成功的風險管理需要安全團隊運用 API。
根據貴公司的規模,先評估目前已有的技能。是否已經有團隊成員熟悉如何編寫 Python 或 Ruby 之類的程式碼?如果有,請大力投資這些團隊成員,根據建立成熟自動化防護的時間表調整自己的目標。團隊裡面沒有這樣的人?那麼您有幾個選擇。確認是否有人想要學習這些技術,並透過調查尋找開發團隊中對於安全技術感興趣的成員。如果訓練的目標一致,而且配置有妥善的資源,那麼可以培訓開發人員進行安全工作,也可以培訓安全工程師編寫程式碼。
如果貴公司在編寫程式碼方面並不擅長,一個不錯的選擇是聘用曾與許多組織有過合作經驗的短期顧問。您不會希望團隊不知道如何修改或使用指令碼。完成這個過程後,就可以在開發渠道中完全嵌入安全性。
5.在開發渠道中嵌入安全性。
在確定如何將程式碼推送到雲端時,需要確定相關人員、內容、時間和位置。完成這一點後,您的目標應該是為安全流程和工具找到破壞性最小的進入點。獲得開發團隊的早期支援極為重要。
結論
透過建構專注於「5 大雲端安全策略」的雲端安全策略,各種規模的安全組織都將享受公有雲所帶來的優勢,而長期以來只有開發團隊從這些優勢中受益。從基礎開始,為未來的成功奠定基礎。