云計(jì)算已經(jīng)獲得了大量企業(yè)用戶的青睞，并成為其數(shù)字化轉(zhuǎn)型發(fā)展的基礎(chǔ)，但是也面臨著各種各樣的風(fēng)險(xiǎn)，從勒索軟件到供應(yīng)鏈攻擊，再到云內(nèi)部威脅和配置錯(cuò)誤，各種云安全事件層出不窮。隨著更多的企業(yè)將其業(yè)務(wù)應(yīng)用遷移至云端，保護(hù)云環(huán)境的安全運(yùn)行已成為企業(yè)領(lǐng)導(dǎo)者面臨的最重大挑戰(zhàn)之一。

云安全運(yùn)營的挑戰(zhàn)

為了應(yīng)對不斷發(fā)展的云安全威脅和挑戰(zhàn)，現(xiàn)代企業(yè)需要構(gòu)建一個(gè)更加先進(jìn)、更加強(qiáng)大、更加全面的云安全運(yùn)營管理體系。與傳統(tǒng)網(wǎng)絡(luò)安全運(yùn)營模式相比，企業(yè)開展云安全運(yùn)營工作會面臨以下挑戰(zhàn)：

1、安全運(yùn)營職責(zé)不明

盡管云安全已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略的核心部分。然而在大多數(shù)企業(yè)中，云運(yùn)營團(tuán)隊(duì)與安全運(yùn)營團(tuán)隊(duì)仍然各司其職，導(dǎo)致安全工作與業(yè)務(wù)運(yùn)營工作處于割裂的狀態(tài)。此外，很多企業(yè)還錯(cuò)誤地認(rèn)為組織的云工作負(fù)載以及相關(guān)的應(yīng)用、數(shù)據(jù)會受到云服務(wù)提供商(CSP)的保護(hù)，但事實(shí)上并非如此。

2、缺乏可見性

云計(jì)算環(huán)境的動態(tài)特性使安全監(jiān)控變得更加困難，這讓云上的影子IT大量存在。由于許多企業(yè)在開發(fā)、安全和IT運(yùn)維團(tuán)隊(duì)之間分擔(dān)責(zé)任，因此當(dāng)攻擊者在云環(huán)境中橫向移動時(shí)，就會存在大量的安全盲點(diǎn)。這就需要對所有云資源的完整可見性進(jìn)行監(jiān)測。

3、安全工具泛濫

據(jù)Palo Alto最新發(fā)布的《2023年云原生安全狀況報(bào)告》數(shù)據(jù)顯示，企業(yè)組織目前平均需要使用30種以上的安全工具來構(gòu)建云應(yīng)用的整體安全性，其中有1/3的產(chǎn)品專門應(yīng)用于云安全。但這種復(fù)雜性并沒有帶來可靠的安全性，反而導(dǎo)致日常云安全運(yùn)營中的問題不斷出現(xiàn)。盡管有超過60%的受訪企業(yè)已經(jīng)使用了云服務(wù)3年以上時(shí)間，但云安全運(yùn)營維護(hù)的復(fù)雜性正在阻礙它們進(jìn)一步將數(shù)字化業(yè)務(wù)系統(tǒng)向云上遷移。

CloudSecOps的三大原則

面對以上云安全運(yùn)營挑戰(zhàn)，CloudSecOps概念應(yīng)運(yùn)而生，旨在將安全優(yōu)先的理念融入從規(guī)劃構(gòu)建到部署應(yīng)用，再到安全監(jiān)控的整個(gè)云運(yùn)營生命周期中，從而確保安全工作不只是被動的攻擊事件響應(yīng)，而是云運(yùn)營戰(zhàn)略的必要組成部分。

從某種意義上說，CloudSecOps代表了現(xiàn)代企業(yè)組織開展云安全能力建設(shè)方式的重大轉(zhuǎn)變。它強(qiáng)調(diào)需要采取主動而不是被動的安全方法。借助CloudSecOps，企業(yè)可以在不影響速度、靈活性或可擴(kuò)展性的情況下，為云上的業(yè)務(wù)系統(tǒng)提供更可靠的安全性。

CloudSecOps的出現(xiàn)也反映了企業(yè)組織開始認(rèn)識到，僅僅保護(hù)云基礎(chǔ)設(shè)施的安全性是遠(yuǎn)遠(yuǎn)不夠的，企業(yè)需要在安全第一理念的指導(dǎo)下，確保云安全運(yùn)營工作符合以下原則：

1、將安全能力融入云運(yùn)營體系中

CloudSecOps的關(guān)鍵原則之一就是將多種安全能力集成到云運(yùn)營體系中。這意味著安全應(yīng)該成為企業(yè)云戰(zhàn)略的核心部分，而不僅僅是附加功能。

在實(shí)際工作中，集成安全能力需要將安全控制措施整合到云基礎(chǔ)設(shè)施和應(yīng)用軟件中，還需要將安全態(tài)勢分析納入云運(yùn)營的決策過程中，確保企業(yè)的所有成員都理解安全的重要性。

集成安全能力可以為云安全運(yùn)營團(tuán)隊(duì)提供諸多好處，它有助于防止安全漏洞，降低數(shù)據(jù)丟失的風(fēng)險(xiǎn)，并增強(qiáng)企業(yè)的整體安全態(tài)勢。此外，還能夠幫助企業(yè)節(jié)省運(yùn)營成本，并減少安全事件的響應(yīng)難度。

2、持續(xù)監(jiān)控和合規(guī)檢查

實(shí)現(xiàn)持續(xù)地安全性監(jiān)控和合規(guī)檢查是CloudSecOps的另一個(gè)重要原則。這包括定期檢查云環(huán)境是否存在潛在的安全威脅因素，并確保所有云運(yùn)營工作符合相關(guān)法規(guī)和標(biāo)準(zhǔn)。

安全監(jiān)控和合規(guī)檢查可以通過多種方式來實(shí)現(xiàn)，包括通過自動化工具和人工檢查。目的是盡快檢測并響應(yīng)任何潛在的安全問題， 以免造成任何破壞。

在CloudSecOps流程中，要求確保所有云運(yùn)營工作都遵守適用的法規(guī)和標(biāo)準(zhǔn)，比如GDPR或HIPAA。開展合規(guī)檢查有助于企業(yè)避免法律問題，保護(hù)企業(yè)的聲譽(yù)，并確?？蛻魯?shù)據(jù)得到負(fù)責(zé)的處理。

3、主動風(fēng)險(xiǎn)管理

CloudSecOps的第三個(gè)關(guān)鍵原則是主動開展風(fēng)險(xiǎn)管理。在潛在的安全風(fēng)險(xiǎn)因素造成實(shí)際破壞之前識別和消除它們。

CloudSecOps中的風(fēng)險(xiǎn)管理包括兩大步驟：首先，企業(yè)必須識別云運(yùn)營中的潛在風(fēng)險(xiǎn)。這可以通過風(fēng)險(xiǎn)評估、審計(jì)和威脅建模來完成;第二，在確定了風(fēng)險(xiǎn)之后，企業(yè)應(yīng)該采取有效措施來消除風(fēng)險(xiǎn)。這可能需要實(shí)施安全控制措施、制定應(yīng)急計(jì)劃以及培訓(xùn)員工處理潛在威脅等。

CloudSecOps技術(shù)與工具

企業(yè)組織在開展CloudSecOps運(yùn)營工作時(shí)，通常需要借助以下技術(shù)和工具提升運(yùn)營效率：

1、入侵檢測和預(yù)防系統(tǒng)

IDPS是CloudSecOps中的一種關(guān)鍵工具，可用于監(jiān)控云上的可疑活動并防范潛在的安全漏洞。這類系統(tǒng)能夠分析云上的網(wǎng)絡(luò)流量，識別可能存在安全威脅的活動模式。一旦發(fā)現(xiàn)威脅，IDPS系統(tǒng)可以采取管控措施，如阻止攻擊、提醒安全團(tuán)隊(duì)或執(zhí)行其他必要的操作。

2、安全日志信息和事件管理

安全日志信息和事件管理(SIEM)是CloudSecOps中的另一種常用工具。SIEM工具可以從多個(gè)來源收集和分析與安全相關(guān)的數(shù)據(jù)，為企業(yè)組織提供展現(xiàn)安全狀態(tài)的統(tǒng)一視圖，有助于檢測潛在的安全威脅、管理事件響應(yīng)，并確保云應(yīng)用的合規(guī)。此外，SIEM還可以提供對云應(yīng)用安全態(tài)勢的預(yù)測洞察，發(fā)現(xiàn)需要改進(jìn)的地方。

3、云訪問安全代理(CASB)

云訪問安全代理(CASB)是一種被廣泛使用的云安全工具，提供對云服務(wù)的可見性和控制。CASB幫助企業(yè)實(shí)施安全策略，防止數(shù)據(jù)泄漏，并提供對云環(huán)境威脅的保護(hù)。CASB通常介于企業(yè)組織和云服務(wù)提供商之間，監(jiān)視所有云應(yīng)用流量并執(zhí)行安全策略，有助于確保所有云活動都符合安全合規(guī)要求。

4、配置管理和合規(guī)工具

配置管理和合規(guī)工具對于維護(hù)云運(yùn)營的安全合規(guī)也非常重要。這類工具能夠幫助實(shí)現(xiàn)云資源管理的自動化，并確保根據(jù)安全最佳實(shí)踐進(jìn)行配置。此外，配置管理工具還有助于確保遵守法規(guī)和標(biāo)準(zhǔn)。它們可以監(jiān)視云環(huán)境中的任何變化，并在檢測到不兼容的配置時(shí)向安全團(tuán)隊(duì)發(fā)送警報(bào)。

CloudSecOps應(yīng)用實(shí)踐

要在高度動態(tài)的云環(huán)境中做好安全運(yùn)營工作并不容易。相比傳統(tǒng)安全運(yùn)營模式，云安全運(yùn)營工作需要能夠適應(yīng)“安全優(yōu)先”和“云原生”的應(yīng)用環(huán)境，并根據(jù)云環(huán)境的需求發(fā)展不斷優(yōu)化運(yùn)營策略和方法，從而持續(xù)監(jiān)測云計(jì)算應(yīng)用的安全風(fēng)險(xiǎn)并及時(shí)響應(yīng)。研究人員總結(jié)梳理了開展CloudSecOps運(yùn)營工作時(shí)的幾個(gè)最佳實(shí)踐：

1、實(shí)施強(qiáng)大的IAM策略

實(shí)施可靠的IAM策略是組織啟動CloudSecOps戰(zhàn)略的基礎(chǔ)，要為每個(gè)用戶設(shè)置適當(dāng)?shù)臋?quán)限和角色，以防止對云資源的不安全訪問。借助有效的IAM策略，企業(yè)可以確保只有合適的人才能在合適的時(shí)間訪問合適的資源。

可靠的IAM策略始于認(rèn)真規(guī)劃。企業(yè)應(yīng)該確定需要訪問云資源的所有利益相關(guān)者，并了解他們的角色和職責(zé)，這一步至關(guān)重要。一旦明確了這些要求，就可以圍繞它們設(shè)計(jì)IAM策略。目前市面上的IAM工具提供細(xì)粒度控制，允許用戶根據(jù)特定需求和角色定制權(quán)限。

實(shí)施強(qiáng)大IAM策略的另一個(gè)關(guān)鍵方面是定期審計(jì)。它有助于識別任何異常或潛在的安全威脅。定期審計(jì)還可以確保IAM策略隨企業(yè)的發(fā)展而與時(shí)俱進(jìn)。

2、將安全集成到CI/CD管道中

將安全集成到CI/CD管道中是CloudSecOps的另一個(gè)關(guān)鍵實(shí)踐。它需要到將安全融入軟件開發(fā)生命周期從設(shè)計(jì)和開發(fā)到部署和維護(hù)的每個(gè)階段，旨在及早發(fā)現(xiàn)并修復(fù)安全問題，以免成為嚴(yán)重漏洞。

DevSecOps始于觀念的轉(zhuǎn)變。企業(yè)不應(yīng)將安全視為事后考慮的環(huán)節(jié)，而是開發(fā)過程的必要組成部分。它要求開發(fā)人員像安全人員一樣思考，要求安全團(tuán)隊(duì)理解開發(fā)過程。這種相互理解營造了所有人都有責(zé)任確保安全的協(xié)作環(huán)境。

工具和自動化在DevSecOps中扮演著重要的角色。自動安全掃描可以檢測代碼庫中的漏洞，而持續(xù)集成工具有助于將這種掃描集成到開發(fā)過程中。這些工具簡化了流程，并確保一致高效的安全實(shí)踐。

3、制定事件響應(yīng)和災(zāi)難恢復(fù)計(jì)劃

盡管企業(yè)盡了最大的努力，安全事件和災(zāi)難還是會發(fā)生。這就是為什么有效的CloudSecOps戰(zhàn)略必須包括事件響應(yīng)和災(zāi)難恢復(fù)規(guī)劃。這類計(jì)劃概述了發(fā)生安全事件或?yàn)?zāi)難時(shí)應(yīng)采取的步驟，以盡量減小對企業(yè)運(yùn)營的影響，并確保迅速恢復(fù)正常。

事件響應(yīng)規(guī)劃始于確定可能影響云運(yùn)營的潛在事件。這可能涵蓋一系列場景，從數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊到自然災(zāi)害和系統(tǒng)故障。一旦確定了這些場景，再為每個(gè)場景制定詳細(xì)的響應(yīng)計(jì)劃。

另一方面，災(zāi)難恢復(fù)規(guī)劃側(cè)重于在發(fā)生重大中斷時(shí)恢復(fù)運(yùn)營。這需要制定一項(xiàng)詳細(xì)的策略，概述如何恢復(fù)數(shù)據(jù)、恢復(fù)系統(tǒng)和恢復(fù)運(yùn)營。這還需要定期測試，以確保計(jì)劃的有效性，并作出必要的調(diào)整。

4、管理第三方風(fēng)險(xiǎn)

在云計(jì)算時(shí)代，許多企業(yè)依靠第三方服務(wù)完成運(yùn)營的各個(gè)方面。雖然這些服務(wù)具有許多好處，但也帶來了潛在的安全風(fēng)險(xiǎn)。因此，管理第三方風(fēng)險(xiǎn)是CloudSecOps的一個(gè)關(guān)鍵方面。

管理第三方風(fēng)險(xiǎn)需要綜合的方法，這始于選擇供應(yīng)商過程中的摸底調(diào)查，包括評估潛在供應(yīng)商的安全實(shí)踐、遵守行業(yè)標(biāo)準(zhǔn)的情況以及處理安全事件方面的以往表現(xiàn)。

一旦選好了供應(yīng)商，就必須進(jìn)行持續(xù)監(jiān)控。這包括定期審查供應(yīng)商的表現(xiàn)，確保對方遵守約定的安全實(shí)踐，并及時(shí)解決任何問題。在一些情況下，還需要進(jìn)行定期審計(jì)，以核實(shí)合規(guī)情況。

5、持續(xù)監(jiān)控和合規(guī)

持續(xù)監(jiān)控和合規(guī)是維護(hù)云運(yùn)營安全性和完整性的基礎(chǔ)。它包括跟蹤云環(huán)境的活動、識別潛在威脅，并確保持續(xù)遵守行業(yè)標(biāo)準(zhǔn)和法規(guī)。

持續(xù)監(jiān)控提供了實(shí)時(shí)洞察云運(yùn)營的優(yōu)點(diǎn)。它使企業(yè)能夠檢測異常、調(diào)查潛在威脅，并迅速響應(yīng)。這種主動地方法可以盡量減少安全事件的風(fēng)險(xiǎn)，并有助于保持運(yùn)營效率。

另一方面，合規(guī)確保企業(yè)的云運(yùn)營遵守相關(guān)的行業(yè)標(biāo)準(zhǔn)和法規(guī)。這需要定期審計(jì)，以核實(shí)合規(guī)、法規(guī)變化后更新實(shí)踐，并及時(shí)處理任何合規(guī)問題。

參考鏈接：https://gbhackers.com/cloudsecops/。