太少的安全性會導致數(shù)據(jù)泄露，但是太多的安全性也最終會導致同樣的結果。員工渴望完成自己的工作，但有時他們的工作能力可能會受到不必要的限制，這常常會導致影子IT的出現(xiàn)，包括在云中的影子IT。

監(jiān)控您的企業(yè)云部署以確保善意的員工不會在未經(jīng)許可的情況下啟動云實例，這是一個很好的方法，可以防止那些帶有您公司名稱的“不安全的S3 bucket”被啟動。而Adobe則開發(fā)了自己的內(nèi)部MAVLink程序來實現(xiàn)了這一點，并因此獲得了2020年CSO50獎項。

監(jiān)視和控制影子IT

MAVLink通過對所有云部署進行標準化和持續(xù)監(jiān)控來防止可能出現(xiàn)的數(shù)據(jù)泄露或其他安全事件的錯誤配置，以幫助Adobe控制影子云IT。“云安全可能是一項復雜的工作，”Adobe的云安全架構師Scott Pack告訴CSO。“通過提供工具服務來幫助執(zhí)行這些帳戶和環(huán)境的安全評估，而不用考慮團隊的復雜程度，使我們能夠更有效地進行監(jiān)控，并更容易地幫助識別出潛在的問題。”

對于大多數(shù)安全團隊來說，在啟用員工生產(chǎn)力和防止安全事件之間取得適當?shù)钠胶馐且豁椘D巨的任務，在開發(fā)MAVLink時，Adobe也必須解決相同的問題。“保持適當?shù)木o張和平衡是一個持續(xù)的努力，”Pack說。“作為安全團隊，我們會努力與我們的工程團隊合作，解決真正的潛在風險，而不必為誤報而浪費時間。我認為，這種平衡的努力很可能是每個安全團隊都在努力解決的問題。”

Adobe于2016年首次將MAVLink作為測試部署，并于2017年8月在全公司范圍內(nèi)進行了部署。Pack表示，該程序現(xiàn)在可以評估安全性，并通過數(shù)千個云賬戶來收集遙測數(shù)據(jù)，而且不會出現(xiàn)任何的服務中斷。

收集有關新云帳戶的數(shù)據(jù)

MAVLink現(xiàn)在使用Microsoft Exchange篩選器來監(jiān)視所有創(chuàng)建新云帳戶的嘗試，該篩選器會將任何注冊電子郵件重新路由到安全團隊。Adobe還可以監(jiān)控公司的信用卡交易，幫助員工在未經(jīng)許可的情況下建立云賬戶。該程序會使用Amazon Web服務配置快照來識別公共IP地址，檢查彈性負載平衡密碼套件，并獲取帳戶中的用戶列表。

“無論何時收集數(shù)據(jù)，它都會流入我們的安全事件和事件管理(SIEM)系統(tǒng)以及日志工具，以便供MAVLink進行分析。”然后，MAVLink會幫助我們在某個地方監(jiān)控我們的云服務賬戶，”Pack在一篇博客文章中寫道。

Pack說，在最近幾次的收購之后，MAVLink已經(jīng)被證明對Adobe來說是特別有用的，它讓安全團隊可以在幾天之內(nèi)就查看完云賬戶。

Adobe正在考慮以開放源碼許可證的形式來發(fā)布MAVLink， Pack說。“大規(guī)模的低成本云安全是很多成熟公司都在努力解決的問題，我們希望可以幫助他們克服這些挑戰(zhàn)，并繼續(xù)在解決方案上進行創(chuàng)新。”

在開發(fā)類似這樣的內(nèi)部解決方案時，Pack強調(diào)還應該在構建安全工具時考慮到特性的漸變。

“在我們安裝MAVLink期間，我們就更新了安全程序的許多部分，包括網(wǎng)絡可見性、主機監(jiān)控、漏洞掃描、秘密管理等，”Pack告訴CSO。“在構建安全工具時，考慮可擴展性是非常重要的;因為你可能會被要求讓這個工具做一些它原本不適合做的事情。你需要盡量保持靈活性!”