1.我們的云環(huán)境合規(guī)性如何?

沒(méi)有一個(gè)在云中運(yùn)行的企業(yè)組織的環(huán)境是100%符合監(jiān)管和安全政策的。但是，那些正確處理云安全的企業(yè)清楚地知道他們的環(huán)境在哪些方面符合規(guī)則，哪些方面不符合。他們可以確保的是，發(fā)生的例外都在規(guī)則之外，而且根據(jù)他們自己的優(yōu)先級(jí)排序，再使一切符合規(guī)則。

你應(yīng)該在任何時(shí)候都清楚你的云環(huán)境的安全性和合規(guī)性如何。負(fù)責(zé)云安全的團(tuán)隊(duì)?wèi)?yīng)定期審查企業(yè)內(nèi)部的安全制度是否完善，以確保它們可以解決你的案例和新興的攻擊向量。要了解你的團(tuán)隊(duì)發(fā)現(xiàn)不符合要求的云基礎(chǔ)設(shè)施的過(guò)程，他們制定的補(bǔ)救程序以及解決時(shí)長(zhǎng)等。

2.我們識(shí)別并消除了多少漏洞?

你的云安全狀況不是一成不變的，隨著你的團(tuán)隊(duì)越來(lái)越善于識(shí)別和修復(fù)漏洞，它會(huì)隨著時(shí)間的推移而得到改善。你應(yīng)該了解你的云環(huán)境中存在多少錯(cuò)誤配置以及每天修復(fù)多少個(gè)漏洞。

由于這項(xiàng)工作通常涉及大量的手動(dòng)工作，如監(jiān)控工具和票務(wù)系統(tǒng)，因此你會(huì)希望利用自動(dòng)化來(lái)幫助你的團(tuán)隊(duì)解決云環(huán)境中所涉及的復(fù)雜性。與具有專業(yè)知識(shí)領(lǐng)域的云安全專家合作，了解當(dāng)前主要的云漏洞如何產(chǎn)生，并利用這些知識(shí)實(shí)現(xiàn)架構(gòu)即代碼，用于自動(dòng)檢查企業(yè)的云基礎(chǔ)設(shè)施是否存在相同的情況。架構(gòu)即代碼旨在檢查其他代碼和運(yùn)行環(huán)境中是否所需。它使所有云計(jì)算的利益相關(guān)者能夠安全地操作，而不會(huì)對(duì)規(guī)則以及如何在軟件開(kāi)發(fā)生命周期的兩端進(jìn)行應(yīng)用產(chǎn)生歧義或分歧。

3.通過(guò)配置部署，我們消除了多少漏洞?

了解安全團(tuán)隊(duì)在云環(huán)境中發(fā)現(xiàn)并修復(fù)了哪些漏洞，只是整體的安全問(wèn)題中的一部分。你還想知道團(tuán)隊(duì)通過(guò)采取哪些主動(dòng)措施來(lái)減少部署錯(cuò)誤配置的發(fā)生頻率。如果沒(méi)有把云安全前置，那么就會(huì)有不間斷的云漏洞流入你的環(huán)境，并且這是一場(chǎng)無(wú)休止的打地鼠游戲。

你的團(tuán)隊(duì)是否在持續(xù)集成和持續(xù)交付 ( CI/CD )路徑中建立安全機(jī)制?你的團(tuán)隊(duì)是否在檢查 infrastructure as code (一種以編程方式構(gòu)建和部署云基礎(chǔ)設(shè)施的方法)以便發(fā)現(xiàn)發(fā)現(xiàn)和修復(fù)部署前的錯(cuò)誤配置，并總結(jié)這樣做在什么時(shí)候是更快、更簡(jiǎn)單、更安全?如果這里的答案是“否”，則可能是架構(gòu)即代碼和 CI/CD 路徑尚未被采用。但如果這些都在使用，至少應(yīng)該有一個(gè)計(jì)劃將這些安全問(wèn)題納入流程。

4.我們是否保證了cloud API 網(wǎng)絡(luò)層的安全?

所有云計(jì)算漏洞都遵循相同模式：網(wǎng)絡(luò)層被破壞。應(yīng)用程序編程接口 (API) 是云計(jì)算的主要驅(qū)動(dòng)力;可將它們視為“軟件中間人”，允許不同的應(yīng)用程序之間進(jìn)行互動(dòng)。API 網(wǎng)絡(luò)層是用于配置和操作云的 API 的集合。

黑客確實(shí)會(huì)尋找配置漏洞。不幸的是，安全防御技術(shù)仍然落后于黑客技術(shù)，因?yàn)樵S多供應(yīng)商的解決方案不能使他們的客戶免受來(lái)自云控制平面的攻擊。坦率地說(shuō)，他們中的大多數(shù)人更在乎如何讓高管和安全團(tuán)隊(duì)有更好的管理體驗(yàn)——直到他們被黑客入侵。這是非常常見(jiàn)的安全鬧劇。

5.安全給生產(chǎn)力拖了多少的后腿?

云與創(chuàng)新速度息息相關(guān)，而安全性是影響團(tuán)隊(duì)發(fā)展速度和數(shù)字化轉(zhuǎn)型的首要因素。應(yīng)用程序開(kāi)發(fā)人員是否在等待他們需要部署的基礎(chǔ)設(shè)施?DevOps 團(tuán)隊(duì)是否在等待對(duì)他們的基礎(chǔ)設(shè)施的安全性進(jìn)行審批?你的云計(jì)算工程師是否在合規(guī)性上耗費(fèi)大量時(shí)間，而他們本可以為公司和客戶創(chuàng)造更多價(jià)值?

定期測(cè)量開(kāi)發(fā)人員和 DevOps 的吞吐量將有助于識(shí)別由于安全流程不足而導(dǎo)致的延誤，而這些延誤會(huì)拖累生產(chǎn)力和士氣。

6.我們?nèi)绾伪硎霭踩呗?

這個(gè)問(wèn)題有兩個(gè)答案：一個(gè)是用人類的語(yǔ)言編寫(xiě)并由人類審查，另一個(gè)則是將策略即代碼編寫(xiě)。如果答案是前者，那么你的云環(huán)境就無(wú)法保證足夠的安全性。人工審查到生效執(zhí)行需要一定時(shí)間，而云漏洞被利用只需幾分鐘。并且人為錯(cuò)誤和編譯差異的風(fēng)險(xiǎn)始終存在。

實(shí)現(xiàn)了策略即代碼，機(jī)器每次都會(huì)隨時(shí)隨地以同樣的方式準(zhǔn)確解釋策略，這意味著你可以持續(xù)評(píng)估更多的云基礎(chǔ)設(shè)施，這遠(yuǎn)遠(yuǎn)勝于人海戰(zhàn)術(shù)。如果安全策略的應(yīng)用需要從一種部署更改為另一種部署，你可以將這些特例轉(zhuǎn)成代碼，這樣一切都有跡可循。當(dāng)你在實(shí)施安全自動(dòng)化時(shí)，可以在開(kāi)發(fā)或部署中發(fā)現(xiàn)并修復(fù)問(wèn)題，之后再投入生產(chǎn)。

7.我們對(duì)“零日攻擊”的處理能有多迅速?

今年早些時(shí)候的 Log4j 漏洞讓各地的安全團(tuán)隊(duì)爭(zhēng)相響應(yīng)?！傲闳展簟币髨F(tuán)隊(duì)快速準(zhǔn)確地評(píng)估漏洞存在的位置及嚴(yán)重性，只有這樣才能及時(shí)響應(yīng)和補(bǔ)救措施。

團(tuán)隊(duì)不僅要能夠快速識(shí)別應(yīng)用程序的漏洞，而且還要評(píng)估每個(gè)漏洞所能帶來(lái)的潛在傷害，以便根據(jù)嚴(yán)重程度確定修復(fù)的優(yōu)先排序。

8.所有團(tuán)隊(duì)都具備成功所需的條件嗎?

在企業(yè)安全中沒(méi)有孤島。保障信息安全需要一種跨越團(tuán)隊(duì)和成本的綜合方法，這需要管理層的支持和可觀的預(yù)算經(jīng)費(fèi)才能實(shí)現(xiàn)。保障安全性的成功取決于管理層的支持以及在預(yù)算和時(shí)間上進(jìn)行適當(dāng)投資。

9.失敗了會(huì)怎樣?

除了 CISO 外，我很少看到高管真正問(wèn)自己這個(gè)問(wèn)題。這并不難想象，想想 Imperva (一家以安全產(chǎn)品為主的公司)的云泄露事件，最終導(dǎo)致 CIO 的下臺(tái)。然后是 Capital One 的違規(guī)行為，這到目前為止仍是大型金融機(jī)構(gòu)中最嚴(yán)重的泄露事件之一。還有今年年初的 Twitch 泄漏事件，不僅影響了 Twitch 自身，還波及到母公司亞馬遜。這與巴頓將軍擊敗隆美爾將軍不同，商界領(lǐng)袖不會(huì)有任何勝利，只能是不斷尋求避免失敗。

云安全是一項(xiàng)永恒的事業(yè)。你需要制定一條規(guī)定，要求持續(xù)報(bào)告企業(yè)的云安全狀況。如果你不想每天都和下面這些問(wèn)題做斗爭(zhēng)的話：正在做什么來(lái)識(shí)別和修補(bǔ)漏洞、上周/上個(gè)月修復(fù)了多少漏洞，你在哪里可能暴露于能使你成為新聞?lì)^條的漏洞當(dāng)中，那么你就需要主動(dòng)回答這些問(wèn)題。

來(lái)源：www.infoworld.com

微信編譯：Viki