?如今，爭論是否采用云計(jì)算技術(shù)的日子已經(jīng)結(jié)束了。大多數(shù)企業(yè)都將業(yè)務(wù)遷移到云計(jì)算平臺(tái)中，遷移了應(yīng)用程序、數(shù)據(jù)和服務(wù)，以響應(yīng)技術(shù)的進(jìn)步和業(yè)務(wù)轉(zhuǎn)變。

隨著消費(fèi)者期望和技術(shù)的發(fā)展繼續(xù)影響企業(yè)收集、存儲(chǔ)和共享有價(jià)值數(shù)據(jù)的方式，保護(hù)數(shù)據(jù)免受現(xiàn)有和高級(jí)的持續(xù)威脅的工作變得更加復(fù)雜。

首席信息安全官必須準(zhǔn)備好幫助IT團(tuán)隊(duì)和安全團(tuán)隊(duì)?wèi)?yīng)對(duì)不斷變化的云安全威脅。以下是每個(gè)首席信息安全官都應(yīng)該回答的關(guān)于云安全態(tài)勢(shì)的三個(gè)問題。

1.企業(yè)的風(fēng)險(xiǎn)偏好是否與云計(jì)算策略一致?

企業(yè)需要了解自己的風(fēng)險(xiǎn)偏好，這是一個(gè)很好的機(jī)會(huì)，但是從云計(jì)算策略的角度考慮風(fēng)險(xiǎn)偏好是很重要的，因?yàn)樵朴?jì)算運(yùn)營模式固有地引入了新的安全風(fēng)險(xiǎn)。

許多因素會(huì)影響企業(yè)的風(fēng)險(xiǎn)偏好，其中包括以下因素：

• 行業(yè)監(jiān)管和合規(guī)情況;
• 全體員工的知識(shí)和經(jīng)驗(yàn);
• 員工人數(shù)和地點(diǎn);
• 硬件、軟件現(xiàn)代化狀況;
• IT和業(yè)務(wù)目標(biāo);
• 治理過程和程序的成熟度;
• 先前的網(wǎng)絡(luò)威脅事件;
• 獨(dú)特的客戶基礎(chǔ)。

各個(gè)行業(yè)組織的風(fēng)險(xiǎn)偏好都是不同的，例如醫(yī)療設(shè)備初創(chuàng)公司的首席信息官與傳統(tǒng)銀行的首席信息官有著不同的風(fēng)險(xiǎn)偏好。

一旦企業(yè)建立了風(fēng)險(xiǎn)偏好概況，就要評(píng)估該度量是否與企業(yè)的治理、風(fēng)險(xiǎn)和合規(guī)性需求相一致。

云計(jì)算戰(zhàn)略和網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)該同步運(yùn)行。至少，IT安全團(tuán)隊(duì)?wèi)?yīng)該理解不同的云部署模型帶來的挑戰(zhàn)。他們還應(yīng)該接受云安全最佳實(shí)踐方面的教育，包括支持資產(chǎn)管理可見性的云原生安全平臺(tái)。

如果網(wǎng)絡(luò)安全戰(zhàn)略和云計(jì)算戰(zhàn)略不一致，那么是重新審視這兩方面的時(shí)候了。

2.企業(yè)的網(wǎng)絡(luò)安全模型是否足夠成熟和是否適合云計(jì)算?

根據(jù)企業(yè)的安全能力和先前的投資，這個(gè)問題可能很難回答。

將云集成到現(xiàn)有的企業(yè)安全程序中并不是要添加更多的控件或工具。這需要對(duì)企業(yè)的資源和業(yè)務(wù)需求進(jìn)行評(píng)估，以便為其企業(yè)文化和云安全策略開發(fā)一種新的方法。

管理內(nèi)聚混合云或多云安全程序，建立可見性和控制，并通過有效的威脅管理編排工作負(fù)載部署。

使用正確的工具獲得可見性對(duì)于每個(gè)安全團(tuán)隊(duì)來說都是至關(guān)重要的。然而，首席信息安全官在監(jiān)督日常安全操作時(shí)并不知道確定云安全模型是否足夠成熟。與其相反，答案應(yīng)該在很大程度上取決于安全態(tài)勢(shì)管理評(píng)估的結(jié)果。

在持續(xù)的基礎(chǔ)上進(jìn)行安全態(tài)勢(shì)管理演習(xí)。這種評(píng)估旨在通過持續(xù)的監(jiān)控和審計(jì)，提供有關(guān)企業(yè)現(xiàn)有安全操作方案和總體違約準(zhǔn)備情況的可操作情報(bào)。

并非所有的網(wǎng)絡(luò)安全模型都是為支持當(dāng)今的云計(jì)算運(yùn)營模型而設(shè)計(jì)的。安全態(tài)勢(shì)管理工具可以自動(dòng)識(shí)別和糾正跨云基礎(chǔ)設(shè)施環(huán)境的風(fēng)險(xiǎn)，包括IaaS、PaaS和SaaS。此外，企業(yè)可以使用云安全態(tài)勢(shì)管理進(jìn)行風(fēng)險(xiǎn)可視化和評(píng)估、事件響應(yīng)、合規(guī)監(jiān)控和DevOps集成。這種評(píng)估還可以將云安全的最佳實(shí)踐統(tǒng)一應(yīng)用到混合云、多云和容器環(huán)境中。

通過花費(fèi)時(shí)間評(píng)估云網(wǎng)絡(luò)安全模型的成熟度，企業(yè)更接近于預(yù)測(cè)IT團(tuán)隊(duì)和安全團(tuán)隊(duì)可能需要采取的措施，以保護(hù)數(shù)據(jù)不受下一個(gè)技術(shù)進(jìn)步或消費(fèi)者行為變化的影響。企業(yè)離優(yōu)化安全策略以符合云計(jì)算相關(guān)業(yè)務(wù)需求又近了一步。

3.企業(yè)的網(wǎng)絡(luò)安全模式左移了嗎?

安全左移涉及在整個(gè)應(yīng)用程序開發(fā)生命周期中整合網(wǎng)絡(luò)安全措施和測(cè)試最佳實(shí)踐。其目的是在過程中更早地識(shí)別和修復(fù)安全漏洞。這種方法需要在DevSecOps思維和能力上進(jìn)行投資。如果實(shí)施得當(dāng)，它可以加快上市時(shí)間，同時(shí)節(jié)省時(shí)間和費(fèi)用。

以下是評(píng)估DevSecOps成熟度的問題:

• 企業(yè)的云環(huán)境是否優(yōu)化了配置以通過自動(dòng)化降低風(fēng)險(xiǎn)?
• 企業(yè)是否采用了“基礎(chǔ)設(shè)施即代碼”、“安全即代碼”或“合規(guī)性即代碼”的框架，將安全威脅建模納入到架構(gòu)設(shè)計(jì)中?

由于敏捷開發(fā)最佳實(shí)踐的流行和云計(jì)算技術(shù)的進(jìn)步，應(yīng)用程序開發(fā)已經(jīng)經(jīng)歷了這種左移。例如，自動(dòng)化持續(xù)集成/持續(xù)交付測(cè)試、容器平臺(tái)和易于使用的公有云供應(yīng)資源都變得越來越普遍——擴(kuò)展檢測(cè)和響應(yīng)、安全編排、自動(dòng)化和響應(yīng)工具也是如此。這些工具可以處理日常的安全操作中心警報(bào)，編排適當(dāng)?shù)捻憫?yīng)，并對(duì)服務(wù)票據(jù)基礎(chǔ)設(shè)施進(jìn)行分類，以便對(duì)事件進(jìn)行解釋，而無需人工干預(yù)。

隨著應(yīng)用程序開發(fā)和安全操作變得更加自動(dòng)化，這種左移的轉(zhuǎn)變將繼續(xù)獲得動(dòng)力。確保企業(yè)網(wǎng)絡(luò)安全模型跟上發(fā)展潮流。