评估云的安全性

云安全既是一场短跑也是一场马拉松。这场短跑需要安全团队迅速采取正确的防御措施，以在短期内解决零日攻击 (zero-day attacks) 和持续性的威胁。同时，它也是一场马拉松比赛，需要对一个组织的安全状态进行频繁的检查和长期的提升，以应对不断更新和演化的威胁和行业规范。

大多数运行在云上的组织最为关注的就是安全，所以用正确的方式开发云安全策略就显得尤为重要。在一个全面的策略被高效执行之前，许多元素之间的关系，从股东到行业标准，都必须得到单独考量。

在这篇文章中，我们将介绍六个方面，用于分析和评估一个组织目前的安全状态。若是一个组织能清晰认识到他们目前的情况，那么就可以知道他们对未来的期望所在，并制定出高效的发展策略。

1. 股东

取决于所采用的技术，实施的流程，和对预算的要求，每个股东都可能参与到不同的云安全策略实现部分当中。换句话说，只要你能获得他们的支持就行。

从人力资源的角度上来分析你的组织目前的安全状态的话，你需要考虑以下方面：

• 目前在你组织中负责安全方面的股东主要都有谁？
• 他们的职责是什么？对于他们职责的分配有重叠和混淆么？
• 股东们在讨论安全话题时都是非常流畅、连贯、和高效的么？
• 他们有可能简化或精简其职责么？
• 还有什么空缺的职位吗？
• 你需要招聘更多的人，或是外包你安全策略中的某一方面么？

除了在评估目前安全团队的状态时将这些股东考虑在内，在你将要确立一个新的策略，选择正确的云安全解决方案，以及确定你将实施、运作、和维护这个方案的流程时，你都需要将这些股东纳入考虑。关于如何获得股东支持的方法，请参见这篇文章。

2. 漏洞

接下来我们将讨论的是，评估你所在组织现存的安全漏洞。这些漏洞取决于你所处的产业、公司类型、消费者、以及数据。对漏洞的清晰认知有助于确立你将要采取何种云安全策略，包括这其中的技术和流程。

在定义你组织的漏洞之前，你可以先考虑以下问题：

• 这个组织现在是有多容易受到攻击？从何而知？
• 这个组织在面对哪些攻击时最不堪一击？
• 整个行业目前正在处理哪些漏洞？
• 去年都出现了哪些出人意料的安全问题？
• 你对哪些攻击毫无准备？

因为这些漏洞在不同公司和行业间的差别都非常大，所以为特定漏洞定制的方案才是高效云安全策略的根本所在。

3. 规范性

现今在使用中的行业标准是极为广泛的，例如：健康保险流通与责任法案 (HIPAA)，萨班斯-奥克斯利法案 (SOX)，国际标准化组织 (ISO)，服务组织控制报告 2 - 安全、可用性与机密性报告 (SOC2）等。并且，你必须非常清楚你所在组织是否有对持有某些规范有要求。了解组织的规范性的需求将帮助你决定安全策略中非常重要的元素，诸如工作流程，报告，底层技术，等等。

你可以通过以下几个问题来评估你所处组织的规范性：

• 本组织所需遵守的规范都有哪些？
• 目前是怎样来确保遵守这些规范的？
• 目前是怎样来报告这些规范性的？
• 哪些方面还需要改进？
• 有遇到过任何的与规范性相关的处罚么？受到了影响么？

这些评估有助于找出差距和需要改进的方面，以便能够系统性地运用适合的安全技术和方式来解决。在下一步，你就可以高效地将规范性相关的问题整合到总安全策略当中了。有关如何简化规范化过程的讨论，请参见这篇文章。

4. 优先级 & 目标

在评估过股东、漏洞、及规范性后，下一步就是对组织的安全目标和需求进行优先级排序，以确保最终的策略是集中和高效的。同时，这将让选择合适的技术和方法变得轻松一些。

回答这些问题来帮助评估目前和未来的安全优先级：

• 本组织安全背后的业务驱动是什么？（如：用户数据保护）
• 哪些类型的数据/信息的保护是高于一切的？他们现在有得到充分的保护么？
• 哪种类型的安全事故会将公司至于险地？
• 本组织目前哪些目标是与云安全相关的？
• 这些目标都正在实现么？
• 我们期望这些目标在明年有哪些提升？三年后呢？五年后呢？

对于优先级的了解有助于确保云安全策略中囊括了所有的要点，并保证最危险的方面比不那么重要的问题更早得到处理。

5. 技术

随着组织的云安全需求不断的升级和发展，检查云安全技术是否跟得上显得尤为重要。同时，有效控制局部解决方案 (point solutions) 数量也是非常重要的，因为这会导致功能的重叠，系统间的差异，臃肿的开销，和频繁报警的疲惫。

要开始清点组织目前的安全堆栈 (security stack)，请回答以下问题：

• 我们现在正采用哪些安全技术？
• 哪些是有用的？哪些没有？
• 存在重叠还是冗余？
• 这些技术是否可以拓展？他们仍适合组织的需求吗？
• 安全团队（及其他股东）喜欢使用这些技术么？
• 多个系统间的信息关联容易么？
• 你有考虑过一体化的综合平台么？

这些问题的答案将帮助决定哪些技术将得以保留，哪些将被弃用，以及哪些空缺需要填补。

6. 流程

安全流程将努力导向成果，仔细评估组织现有的安全流程有助于提升效率。

特别地，你应该注意：

• 目前有哪些安全流程？
• 这些流程在工作么？为什么在/不在？
• 有合适的人参与到事件的监测和响应当中么？
• 花在安全方面的时间是多少？（太多/太少？）
• 有任何方面可以简化么？

解决这些流程上的问题也可以帮助简化新技术的实施和运行，同时，这也使得每个股东的工作更加地清晰和直接。

另外：在评估流程的时候，不仅要考虑安全本身，还涉及安全流程有没有与开发和运营相结合，确保这三个部门在协同工作，这样才能以云上的速度成长和运作。

实施一个成功的云安全策略

评估一个组织的安全状态的最好方法，就是通过以上提到的这六个方面来系统性地创建一个清晰和详细的画像。之后，安全团队就将得知现有的安全状态和它的目标状态，这样，他们就可以实施涵盖所有安全方面的鼓励策略，并高效地与开发和运营整合。

要详细了解如何实施一个与组织独特需求相结合的成功的云安全策略，请查看我们的云安全手册 (译者注：这里原文没有超链接)。