【51CTO.com快譯】又是新的一年，又是新的一天。不過在做好迎接新生活的準(zhǔn)備之前，我們首先應(yīng)當(dāng)回顧過去一年中云安全領(lǐng)域發(fā)生的種種事端。盡管有所改善，但2017年中需要學(xué)習(xí)與改進的地方還有很多。因此，我們將在今天的文章中對此進行深入探討。

[[180915]]

云安全性的巨大轉(zhuǎn)變：從***有到必須有

幾年之前，安全性還被普遍視為一種保險性舉措——有***，但絕非優(yōu)先事務(wù)。過去一年的種種教訓(xùn)讓我們對此有了新的認(rèn)識，這主要是由于：

安全威脅滲透度進一步提升。

企業(yè)被迫重新審視遷移至云環(huán)境后的安全問題。

眾多企業(yè)對云計算感到緊張，而安全保障是解決這種焦慮的***方式。

很明顯，要對云環(huán)境中的數(shù)據(jù)加以保護，大家需要使用針對云構(gòu)建的安全方案。越來越多的企業(yè)開始高度依賴于云安全機制，但這又帶來了新問題……

傳統(tǒng)陋習(xí)依然存在

安全性是云計算的必備因素，但只有配合正確的實施舉措才能發(fā)揮作用。在這方面，我們需要立足以下兩個角度做出調(diào)整：

1.過度依賴手動工具與流程

企業(yè)目前面臨的***難題之一是何時放棄放手。當(dāng)員工離開公司后，我們需要確保將其賬戶從系統(tǒng)當(dāng)中刪除，從而消除一切可能存在的潛在安全威脅。事實上，內(nèi)部人士已經(jīng)成為一類切實存在且不斷增長的風(fēng)險來源。

考慮到這一嚴(yán)重風(fēng)險，我們需要借助自動化手段進行用戶配置清退，從而在云安全領(lǐng)域建立起一套精確、一致且端到端的處理流程，確保每一次任務(wù)執(zhí)行都能落實到位。

舉例來說，自動化機制能夠在警報系統(tǒng)中發(fā)揮出色的速度、準(zhǔn)確性與安全性優(yōu)勢。不少企業(yè)仍然要求安全人員手動處理警報信息，然而云環(huán)境下的警報通知往往成百上千，根本不是人力方式所能應(yīng)對。因此，利用自動化方案進行優(yōu)先級審查與警報過濾不僅能夠加快事件檢測與響應(yīng)速度，亦可顯著降低人為錯誤與威脅遺漏數(shù)量。

2. 草率上馬DIY型安全方案

面對不計其數(shù)的云安全解決方案，令人驚訝的是許多企業(yè)仍然試圖DIY自己的安全方案。事實上，這種作法耗時、昂貴、充滿風(fēng)險且大多毫無必要。

雖然您的云環(huán)境有其特殊性，但其絕非***。作為企業(yè)，大家應(yīng)當(dāng)將開發(fā)人員的精力引導(dǎo)至構(gòu)建工具及增加業(yè)務(wù)價值身上，而非忙于開發(fā)所謂自主型安全體系。

另外需要注意的是，安全保障是一門復(fù)雜的學(xué)科，而開發(fā)理想的保護方案需要大量專業(yè)知識?，F(xiàn)實情況是，大多數(shù)企業(yè)的安全問題存在相當(dāng)程度的共性，完全可以通過定制化安全策略配合現(xiàn)成工具與咨詢服務(wù)的方式解決。

2017年安全規(guī)劃

著眼于新的一年，我們作為防守方該如何占得先機并保障安全?以下問題值得大家認(rèn)真思考 ：

如果已經(jīng)選擇云服務(wù)，您的安全水平處于何種程度?

您的全部設(shè)備是否都已經(jīng)得到檢查?您如何確定這一點?

云服務(wù)是否真正適合您的主要安全目標(biāo)并可解決相關(guān)安全漏洞?

您所在企業(yè)的管理層是否支持您的安全策略?他們是否理解安全性的價值以及目前的實施進度?

上述因素非常重要，甚至直接決定著您所在企業(yè)的安全性水平。而作為可行舉措，我們應(yīng)當(dāng)立足以下三點推進安全性升級。

1. 制定策略

今年，大家的目標(biāo)應(yīng)該是在聰明與易行之間找到平衡點。即安全水平的實現(xiàn)難度應(yīng)該符合當(dāng)前技術(shù)水平，而非盲目引入高復(fù)雜度因素。

為了實現(xiàn)這種平衡，大家應(yīng)當(dāng)立足宏觀進行分析：

企業(yè)的安全目標(biāo)

企業(yè)面對的實際風(fēng)險

實現(xiàn)安全覆蓋的障礙所在

找到答案之后，大家可以優(yōu)先考慮選擇合適的工具、流程及工作流以滿足這些條件。

2. 定期進行自查

不要過度關(guān)注新聞報道中的那些大規(guī)模安全事故。相反，著眼于企業(yè)內(nèi)部并整理出風(fēng)險***的潛在威脅。事實上，新聞中公布的狀況往往永遠不會發(fā)生在您所在的企業(yè)中，因此別為無謂的問題分神。

3.利用指標(biāo)進行評估與改進

數(shù)字往往是確定企業(yè)當(dāng)前安全水平的***載體，亦可幫助我們制定可行目標(biāo)并最終改善安全態(tài)勢。舉例來說，大家如果能夠查看用戶的日?；顒樱瑒t意味著也能夠以同樣的方式發(fā)現(xiàn)一切危險行為并加以應(yīng)對。舉例來說，您可以追蹤經(jīng)常登錄非安全Wi-Fi網(wǎng)絡(luò)的員工并發(fā)出提醒，或者快速進行用戶賬戶清退以保證離職員工不會影響正常業(yè)務(wù)。

利用這些數(shù)據(jù)，我們可以與開發(fā)團隊進行數(shù)據(jù)驅(qū)動型討論，從而了解應(yīng)當(dāng)如何改進安全態(tài)勢、減少錯誤并降低風(fēng)險。最有說服力的討論方式應(yīng)該是“立足于這部分?jǐn)?shù)據(jù)，我們希望讓這項指標(biāo)隨時間推移逐步得到改善。大家覺得可行嗎?”這將讓對話從對抗轉(zhuǎn)化為基于客觀現(xiàn)實的協(xié)作嘗試，而這正是DevOps文化的核心主旨。

原文標(biāo)題：Your Yearly Cloud Security Health Check，作者：Tim Armstrong

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】