关于云安全你应该问的9个问题

企业通常缺乏对其云环境安全性的关键洞察以下是业务领导者需要问的9个问题及云安全团队需要回答的问题。

为了网络安全专业人员来获得他们所需要的知识阻止黑客不断地针对自己的云基础设施和应用程序,他们需要像巴顿将军(或者说像乔治·c·斯科特,赢得了奥斯卡最佳男主角的演员为他在1970年的电影《巴顿将军的描述)一样。该电影重点是展示巴顿如何不仅仅依靠军事情报来计划下一次战斗，他积极主动地尽可能多地了解他的对手是如何思考和操作的。

因此，企业和安全部门的领导人也必须积极主动，尽可能多地了解黑客的动机和策略。不要只依赖安全解决方案，因为这只是一种错误的安全感。每一天，黑客都在绕过安全边界，跨越任意边界，逃避安全解决方案，最终在不被发现的情况下获取他们想要的数据。

因此，这里有9个问题是所有高级管理人员(ciso、cio、ceo)关于他们的云安全需要问的：

我们的云环境有多不合规?

在云计算中运行的企业组织没有一个环境是100%符合监管和安全策略的。但是那些正确地做云安全的人确切地知道他们的环境在哪里，是否符合规定。他们确保例外只是例外——规则的例外——并且他们有一个优先级计划来让所有的事情都符合规则。

随时了解云环境的安全性和遵从性。安全团队应该定期检查企业内部的安全策略，以确保它们充分解决您的用例和新兴的攻击问题。了解您的团队用于发现不符合法规的云基础设施的过程、他们已经到位的补救过程，以及使环境符合法规所需要的时间

我们确定并消除了多少漏洞?

您的云安全状况不是静态的，随着团队在识别和修复问题方面做得越来越好，它应该会随着时间的推移而改善。您应该了解您的环境中存在多少错误配置漏洞，以及每天修复了多少漏洞。

由于此工作通常涉及大量手工工作，包括监视工具和票据系统，因此利用自动化来帮助团队处理现代企业云环境中涉及的复杂性规模。与具有领域专业知识的云安全专业人员合作，了解现代重大云入侵是如何发生的，并使用这些知识创建策略作为代码，用于自动检查组织的云基础设施中是否存在相同的条件。策略作为代码被设计用来检查其他代码和运行环境中不需要的条件。它使所有的云涉众能够安全地操作，而不会对规则以及如何在软件开发生命周期的两端应用规则产生歧义或分歧。

我们阻止了多少漏洞被部署?

安全团队采取了哪些主动措施来减少部署错误配置的频率。如果不能在云安全问题上“向左转移”，就会确保云漏洞不间断地流入您的环境——安全团队就像在玩一场无休止的打地鼠游戏。

是否将安全构建到持续集成和持续交付(CI/CD)管道中?是否将基础设施作为代码进行检查(以编程方式构建和部署云基础设施的一种方法)，以便在部署前找到并修复错误配置，而这样做更快、更容易、更安全?如果这里的答案是“否”，可能是因为作为代码和CI/CD管道的基础设施还没有被采用。但是，如果正在使用这些流程，至少应该制定一个计划，在这些流程中构建安全性。

我们是否确保云API控制平面的安全?

所有的云缺口都遵循同样的模式:控制平面被破坏。应用程序编程接口(api)是云计算的主要驱动;可以将它们视为允许不同应用程序相互交互的“软件中间商”。API控制平面是用于配置和操作云的API的集合。

黑客确实会寻找错误的配置。不幸的是，安全行业仍然落后于黑客，因为许多供应商的解决方案不能保护他们的客户免受针对云控制平面的攻击。坦率地说，他们中的大多数关注于那些让高管和安全团队感觉更好的复选框，直到他们被黑客攻击。

评估由于错误配置、应用程序漏洞、源代码中的API密钥等原因导致的任何潜在渗透事件的爆炸半径风险，需要云安全架构方面的专业知识，以识别和避免攻击者每天利用的设计缺陷。云安全与知识有关，当防御者对他们的环境缺乏充分的知识，并且未能阻止攻击者发现这些知识时，就会发生破坏。

安全对生产力造成了多大的拖累?

云计算与创新速度有关，而安全是限制团队速度和数字化转型成功与否的头号因素。应用程序开发人员是否在等待他们需要部署的基础设施?DevOps团队是否在等待安全部门审查和批准他们的基础设施?当您的云工程师本可以为您的公司和客户创造更多价值的时候，他们是否在耗时的手动安全和合规任务上投入了太多的时间?

定期测量开发人员和DevOps的吞吐量将有助于识别由于安全流程不足而导致的延迟，安全流程会拖累生产力和士气。

我们如何表达安全策略?

这个问题有两个答案:您的安全策略是用人类的语言编写并由人类审查的，或者您将策略用作代码。如果答案是前者，那么您的云环境就不能保证足够的安全。当云入侵需要几分钟才能执行时，手动检查策略并在您的环境中执行它们需要时间。而人为错误和解释差异的风险总是存在的。

将策略作为代码，机器将每次以相同的方式实时准确地解释策略，这意味着您可以不断评估比任何人所希望做的多得多的云基础设施。如果安全策略的应用程序需要从一个部署更改到另一个部署，您可以将这些异常表示为代码，以便一切都有良好的文档记录。当您使用策略作为代码实现安全自动化时，可以在开发或部署中发现并修复问题，而不是生产。

我们对零日事件的响应速度有多快?

Log4j漏洞让各地的安全团队匆忙做出回应。这些类型的“零日”事件要求团队快速准确地评估漏洞存在的位置及其严重性，以便响应和补救工作进行优先级排序。对于这种应用程序零日漏洞的反应要求团队比通常情况下更深入，因为应用程序漏洞经常被用于渗透云基础设施环境，并最终危及云控制平面。

团队不仅必须能够快速识别应用程序漏洞，而且还必须评估每个漏洞实例所呈现的潜在爆炸半径，以便分配严重性和相应的修复优先级。

所有团队都有成功所需的东西吗?

在现代企业安全中没有竖井。安全性需要一种跨越团队和成本中心的集成方法，这需要执行领导和支持才能正确。例如，安全问题的左移要求开发人员和DevOps承担一些责任，在软件开发生命周期的早期发现和修复问题。但如果安全投资没有反映出这些新的优先事项，就会出现摩擦，使努力陷入危险。

安全方面的成功依赖于管理层的支持，并投入足够的预算和时间。

失败会是什么样子?

不难想象，大型安全产品公司Imperva遭遇了云漏洞，最终导致首席执行官辞职。然后是资本一号漏洞，这仍然是有史以来打击大型金融机构的最大漏洞之一。而今年早些时候的Twitch漏洞，不仅影响了Twitch，也影响了其母公司亚马逊。与巴顿将军击败隆美尔将军不同的是，商界领袖不会取得任何胜利，只有不断努力防止失败。

云安全是一项永恒的事业，就像加入健身房，并严格要求一致使用该会员资格来保持健康。您需要实施一项策略，要求一致地报告组织的云安全态势。您不想纠结于以下问题：正在采取哪些措施来识别和修复漏洞，上周或上月消除了多少漏洞，以及您可能会在何处遇到新的漏洞，这些漏洞正成为新闻头条，您需要答案。

Josh Stella是Snyk的首席架构师，也是云安全方面的技术权威。Josh拥有25年的IT和安全专业知识，担任Fugue的创始首席执行官、亚马逊网络服务的首席解决方案架构师，以及美国情报界的顾问。Josh的个人使命是帮助组织了解云配置如何成为新的攻击面，以及公司需要如何从防御态势转变为预防态势，以确保其云基础设施的安全。他写了第一本关于“不变的基础设施”的书（由O'Reilly出版），拥有众多的云安全技术专利，并主持了一个教育性的云安全大师班系列。在LinkedIn上与Josh联系，有关Fugue的更多信息，请访问www.Fugue。co、GitHub、LinkedIn和Twitter。

更多资讯内容请查看：www.infoworld.com/article/366…