云的安全问题（第2部分）：从哪里开始

上周，我们发布了帮助公司改善安全状况的最佳实践系列的第1节。安全不再仅仅是安全专家的领域，公司中的每个人，不论其角色如何，都应该秉承践行安全最佳实践的观念。

这个系列通过找到最容易达到的安全目标以逐步提高公司的安全水平，来为公司提供一个安全之旅的“起点”。在第一节中，我们介绍了推荐的四种起步级的安全工具和服务。在本节中，我们会给出另一些安全建议，这些建议可以使您的安全水平提升一个层次。

所有公司都应实施的另四项安全措施

5.安全培训

如果您的员工不明白如何使用或为什么使用诸如双因素身份验证和电子邮件加密之类的安全协议，那么这对您的公司实施安全措施是十分不利的。如果没有经过必要的培训，员工可能会自知或不自知地避开这些安全措施。

为了确保您的团队充分了解他们应当践行的每个安全措施的原因和方式，我们建议您组织一个以团队为单位的安全培训会，来回顾您到目前为止所实施的每个安全措施。请使您的培训充满乐趣，充分调动大家积极性，使大家相互交流，同时要确保所有人都参与进来了。

在第一次会议之后，选择一个合适您的团队的培训周期（我们建议是每个月或每个季度）。可以是一个30分钟午餐座谈会，也可以是半天的精心准备的会议。请尊重您的团队的时间，只提他们真正需要知道和做的——而不是全部内容。

网络钓鱼是一个不错的开始话题，这是目前最常见的威胁。您可以解释什么是网络钓鱼，网络钓鱼的攻击方式，你已经实施的方案（如2FA和加密算法）是如何应对网络钓鱼的，以及员工应当如何使用这些工具来维护安全。

6.强化配置管理

现在，如果走进一个现代化的运营团队，却没有看到像Puppet、Chef或Ansible这样的配置管理（configuration management，CM）系统来驱动基础设施是几乎不可能的。正如我们在之前的文章中所解释的，CM（配置管理）软件直接支持DevOps将基础架构视为代码的概念。然而，由于CM（配置管理）发挥着重要的作用，它的责任也愈大。

由于CM（配置管理）的本质是在基础设施上执行任意代码，因此需要加强系统敏感数据的保护。您可以使用像chef-vault这样的工具 ，它使用公钥对敏感数据进行加密，或者使用文件完整性监视，这样可以查看未经授权的服务何时触及磁盘上的机密文件。如果您已经按照本系列第1节的建议采取了此措施，恭喜您，又解决了一个问题。

7.保证产品的访问安全

应用持续交付和敏捷开发的团队通常会为开发人员提供产品的访问权限，以便更快地发布版本更新、新功能和新产品。在这个信任但仍需要核查的世界里，您需要实施某些安全措施，以确保漏洞不会疯狂出现，开发人员忠于职守。

要做到这一点，您应该监视诸如软件包安装和更新等事件，以确保只有您的CM（配置管理）系统在管理您的主机。跟踪和监视配置您的系统的代码，对于确保用户不在主机上手动安装软件包引发未知的安全问题来说非常重要。

如果您有时间进行配置和管理，则可以选择开源项目，如OSSEC和auditd。更好的是，像Threat Stack这样的工具 可以为您处理配置和持续监控。无论哪种方式，早早在在产品服务器上部署监控系统至关重要，因为产品服务器可以说是您最关键的基础设施之一。

8.安全警报

您需要一个系统在检测到异常现象时发出异常警报。无论是一次异常的凌晨两点来自俄罗斯IP地址的登录，还是在发布的产品中不知不觉出现的漏洞，您不仅需要知道，而且需要快速知道。

Threat Stack会在检测到异常行为时提醒您的团队。Threat Stack还可帮助团队定制安全警报的严重程度，这样只有高度严重性警报才会在晚上发送给值班的开发人员，而严重性较低的警报则会留到工作时间内处理。

整合安全件

如果您已经依照我们这个两小节的系列文章中推荐的最佳安全实践去做了，那么，您现在可以开始见证它是怎样发挥安全性作用的了。关于这一点，您需要一种方法来在一个统一的界面上查看您的所有安全措施和系统活动的监视信息，而不必登录到各个独立的工具，把信息拼凑在一起。