年度云安全狀態(tài)檢查到底該如何進(jìn)行?

又是新的一年，又是新的一天。不過在做好迎接新生活的準(zhǔn)備之前，我們首先應(yīng)當(dāng)回顧過去一年中云安全領(lǐng)域發(fā)生的種種事端。盡管有所改善，但2017年中需要學(xué)習(xí)與改進(jìn)的地方還有很多。因此，我們將在今天的文章中對此進(jìn)行深入探討。

云安全性的巨大轉(zhuǎn)變：從最好有到必須有

幾年之前，安全性還被普遍視為一種保險(xiǎn)性舉措——有最好，但絕非優(yōu)先事務(wù)。過去一年的種種教訓(xùn)讓我們對此有了新的認(rèn)識，這主要是由于：

安全威脅滲透度進(jìn)一步提升。

企業(yè)被迫重新審視遷移至云環(huán)境后的安全問題。

眾多企業(yè)對云計(jì)算感到緊張，而安全保障是解決這種焦慮的最佳方式。

很明顯，要對云環(huán)境中的數(shù)據(jù)加以保護(hù)，大家需要使用針對云構(gòu)建的安全方案。越來越多的企業(yè)開始高度依賴于云安全機(jī)制，但這又帶來了新問題……

傳統(tǒng)陋習(xí)依然存在

安全性是云計(jì)算的必備因素，但只有配合正確的實(shí)施舉措才能發(fā)揮作用。在這方面，我們需要立足以下兩個(gè)角度做出調(diào)整：

1.過度依賴手動(dòng)工具與流程

企業(yè)目前面臨的最大難題之一是何時(shí)放棄放手。當(dāng)員工離開公司后，我們需要確保將其賬戶從系統(tǒng)當(dāng)中刪除，從而消除一切可能存在的潛在安全威脅。事實(shí)上，內(nèi)部人士已經(jīng)成為一類切實(shí)存在且不斷增長的風(fēng)險(xiǎn)來源。

考慮到這一嚴(yán)重風(fēng)險(xiǎn)，我們需要借助自動(dòng)化手段進(jìn)行用戶配置清退，從而在云安全領(lǐng)域建立起一套精確、一致且端到端的處理流程，確保每一次任務(wù)執(zhí)行都能落實(shí)到位。

舉例來說，自動(dòng)化機(jī)制能夠在警報(bào)系統(tǒng)中發(fā)揮出色的速度、準(zhǔn)確性與安全性優(yōu)勢。不少企業(yè)仍然要求安全人員手動(dòng)處理警報(bào)信息，然而云環(huán)境下的警報(bào)通知往往成百上千，根本不是人力方式所能應(yīng)對。因此，利用自動(dòng)化方案進(jìn)行優(yōu)先級審查與警報(bào)過濾不僅能夠加快事件檢測與響應(yīng)速度，亦可顯著降低人為錯(cuò)誤與威脅遺漏數(shù)量。

2. 草率上馬DIY型安全方案

面對不計(jì)其數(shù)的云安全解決方案，令人驚訝的是許多企業(yè)仍然試圖DIY自己的安全方案。事實(shí)上，這種作法耗時(shí)、昂貴、充滿風(fēng)險(xiǎn)且大多毫無必要。

雖然您的云環(huán)境有其特殊性，但其絕非獨(dú)一無二。作為企業(yè)，大家應(yīng)當(dāng)將開發(fā)人員的精力引導(dǎo)至構(gòu)建工具及增加業(yè)務(wù)價(jià)值身上，而非忙于開發(fā)所謂自主型安全體系。

另外需要注意的是，安全保障是一門復(fù)雜的學(xué)科，而開發(fā)理想的保護(hù)方案需要大量專業(yè)知識。現(xiàn)實(shí)情況是，大多數(shù)企業(yè)的安全問題存在相當(dāng)程度的共性，完全可以通過定制化安全策略配合現(xiàn)成工具與咨詢服務(wù)的方式解決。

2017年安全規(guī)劃

著眼于新的一年，我們作為防守方該如何占得先機(jī)并保障安全?以下問題值得大家認(rèn)真思考 ：

如果已經(jīng)選擇云服務(wù)，您的安全水平處于何種程度?

您的全部設(shè)備是否都已經(jīng)得到檢查?您如何確定這一點(diǎn)?

云服務(wù)是否真正適合您的主要安全目標(biāo)并可解決相關(guān)安全漏洞?

您所在企業(yè)的管理層是否支持您的安全策略?他們是否理解安全性的價(jià)值以及目前的實(shí)施進(jìn)度?

上述因素非常重要，甚至直接決定著您所在企業(yè)的安全性水平。而作為可行舉措，我們應(yīng)當(dāng)立足以下三點(diǎn)推進(jìn)安全性升級。

1. 制定策略

今年，大家的目標(biāo)應(yīng)該是在聰明與易行之間找到平衡點(diǎn)。即安全水平的實(shí)現(xiàn)難度應(yīng)該符合當(dāng)前技術(shù)水平，而非盲目引入高復(fù)雜度因素。

為了實(shí)現(xiàn)這種平衡，大家應(yīng)當(dāng)立足宏觀進(jìn)行分析：

企業(yè)的安全目標(biāo)

企業(yè)面對的實(shí)際風(fēng)險(xiǎn)

實(shí)現(xiàn)安全覆蓋的障礙所在

找到答案之后，大家可以優(yōu)先考慮選擇合適的工具、流程及工作流以滿足這些條件。

2. 定期進(jìn)行自查

不要過度關(guān)注新聞報(bào)道中的那些大規(guī)模安全事故。相反，著眼于企業(yè)內(nèi)部并整理出風(fēng)險(xiǎn)最高的潛在威脅。事實(shí)上，新聞中公布的狀況往往永遠(yuǎn)不會(huì)發(fā)生在您所在的企業(yè)中，因此別為無謂的問題分神。

3.利用指標(biāo)進(jìn)行評估與改進(jìn)

數(shù)字往往是確定企業(yè)當(dāng)前安全水平的最佳載體，亦可幫助我們制定可行目標(biāo)并最終改善安全態(tài)勢。舉例來說，大家如果能夠查看用戶的日常活動(dòng)，則意味著也能夠以同樣的方式發(fā)現(xiàn)一切危險(xiǎn)行為并加以應(yīng)對。舉例來說，您可以追蹤經(jīng)常登錄非安全Wi-Fi網(wǎng)絡(luò)的員工并發(fā)出提醒，或者快速進(jìn)行用戶賬戶清退以保證離職員工不會(huì)影響正常業(yè)務(wù)。

利用這些數(shù)據(jù)，我們可以與開發(fā)團(tuán)隊(duì)進(jìn)行數(shù)據(jù)驅(qū)動(dòng)型討論，從而了解應(yīng)當(dāng)如何改進(jìn)安全態(tài)勢、減少錯(cuò)誤并降低風(fēng)險(xiǎn)。最有說服力的討論方式應(yīng)該是“立足于這部分?jǐn)?shù)據(jù)，我們希望讓這項(xiàng)指標(biāo)隨時(shí)間推移逐步得到改善。大家覺得可行嗎?”這將讓對話從對抗轉(zhuǎn)化為基于客觀現(xiàn)實(shí)的協(xié)作嘗試，而這正是DevOps文化的核心主旨。