This post is also available in: English (英语) 繁體中文 (繁体中文) Nederlands (荷兰语) Français (法语) Deutsch (德语) Italiano (意大利语) 日本語 (日语) 한국어 (韩语) Español (西班牙语)
在与数百位客户合作的基础之上,我们开发出了 5 大云安全策略。虽然并非完美无瑕,但如果使用得当,该策略能够帮助您的团队建立一套面面俱到的云安全策略。
图 1:5 大云安全策略
在由于人为失误造成的事件当中,主要原因之一是对环境缺乏足够的认知。– Nullmeyer、Stella、Montijo 和 Harden,2005 年
1.了解云的状况,获得深度的可视性。
如果要简化云安全性及合规性工作,需要先了解目前开发人员和业务团队如何使用云。首先应该了解影子 IT 对于云的使用情况,当然,还不能仅仅满足于此。您的团队可以通过 80/20 法则,了解需要最先关注哪个云平台。然而,安全团队不仅要了解正在使用哪些云平台,还要了解这些云平台内部正在运行的内容。这就到了云提供商的 API 发挥作用的时刻。
API 是将云和大部分本地环境区分开来的关键技术之一,它能够持续掌握云环境中的状况。您不仅需要对企业正在使用的云应用了如指掌,还应该利用云提供商的 API 持续跟踪下至元数据层中的所有更改。
2.建立防线,自动阻止最严重的云配置错误。
问问自己,云环境中有哪些配置(错误的配置或反模式)永远不该出现?例如,数据库直接接收来自 Internet 的流量。我们都知道这是“最坏的做法”,但是 Unit 42 的威胁研究表明仍有 28% 的云环境中存在这种情况。您可以制定一份初步的清单,并随着云安全计划的日益成熟而不断扩展这份清单。两则重要的说明:任何时候如果需要建立自动化的防护,强烈建议首先进行小规模的试验,从而确保不会出现意外结果(例如,由自身问题造成拒绝服务)。与您的开发团队紧密合作。如果未得到开发团队的支持,请不要尝试进行自动化防护。从计划伊始便应该与开发团队共同合作,从基础做起,为未来的成功打好基础。
3.标准是自动化的前提条件。
许多团队在尚未建立安全标准的情况下就开始谈论自动化。妥善的做法是随着时间的推移,逐渐将 80% 的任务自动化。标准建立得越完善,自动化的部分就会越简单。除非您是初创公司,否则不要设想在 90 天内即可实现从无自动化到完全自动化的骤变。在实现目标之前,这个过程通常至少会耗费企业 9 个月的时间。
4.培训并雇佣进行编程的安全工程师。
与大部分传统的数据中心不同,公有云环境由 API 驱动。安全团队需要利用 API 才能有效管理云中的风险。
根据企业的规模,首要任务是评估目前现有的能力。您的团队中是否拥有了解如何使用 Python 或 Ruby 这类语言进行编程的成员?如果是,请根据建立成熟的自动化防护的时间安排,大力培养这些团队成员。如果团队中没有这类成员呢?那么您有几种方法可供选择。寻找想要学习相关技术的成员,或在开发团队中进行调查来发现对安全防护抱有兴趣的成员。如果培训目标明确且具备适当的资源,那么可以向开发人员培训安全防护的技术,亦可向安全工程师培训编程技术。
如果编程不是企业的强项,一个不错的选择是选择一名在相关方面与多家企业有过合作经验的短期顾问。您绝对不会希望自己的团队面临一堆不知道如何修改或使用的脚本。在进行此过程的同时,您也将做好将安全防护完全嵌入到开发流程的准备。
5.将安全防护嵌入到开发流程中。
为此需要确定企业向云中推送代码的过程中,所涉及的人员、内容、时间和位置。在完成这一步后,您的目标就是为安全流程和工具找出造成干扰最小的插入点。在初期获得开发团队的支持是关键所在。
结语
不论安全企业的规模如何,通过构建以“5 大云安全策略”为重点的云安全策略,都可以享受到由公有云提供的各种优势,而长久以来只有开发团队从这些优势当中收益。从基础做起,为未来的成功打好基础。