首席信息安全官應該回答的3個云安全態(tài)勢問題

如今，爭論是否采用云計算技術的日子已經(jīng)結束了。大多數(shù)企業(yè)都將業(yè)務遷移到云計算平臺中，遷移了應用程序、數(shù)據(jù)和服務，以響應技術的進步和業(yè)務轉變。

隨著消費者期望和技術的發(fā)展繼續(xù)影響企業(yè)收集、存儲和共享有價值數(shù)據(jù)的方式，保護數(shù)據(jù)免受現(xiàn)有和高級的持續(xù)威脅的工作變得更加復雜。

首席信息安全官必須準備好幫助IT團隊和安全團隊應對不斷變化的云安全威脅。以下是每個首席信息安全官都應該回答的關于云安全態(tài)勢的三個問題。

1.企業(yè)的風險偏好是否與云計算策略一致?

企業(yè)需要了解自己的風險偏好，這是一個很好的機會，但是從云計算策略的角度考慮風險偏好是很重要的，因為云計算運營模式固有地引入了新的安全風險。

許多因素會影響企業(yè)的風險偏好，其中包括以下因素：

·行業(yè)監(jiān)管和合規(guī)情況;

·全體員工的知識和經(jīng)驗;

·員工人數(shù)和地點;

·硬件、軟件現(xiàn)代化狀況;

·IT和業(yè)務目標;

·治理過程和程序的成熟度;

·先前的網(wǎng)絡威脅事件;

·獨特的客戶基礎。

各個行業(yè)組織的風險偏好都是不同的，例如醫(yī)療設備初創(chuàng)公司的首席信息官與傳統(tǒng)銀行的首席信息官有著不同的風險偏好。

一旦企業(yè)建立了風險偏好概況，就要評估該度量是否與企業(yè)的治理、風險和合規(guī)性需求相一致。

云計算戰(zhàn)略和網(wǎng)絡安全戰(zhàn)略應該同步運行。至少，IT安全團隊應該理解不同的云部署模型帶來的挑戰(zhàn)。他們還應該接受云安全最佳實踐方面的教育，包括支持資產(chǎn)管理可見性的云原生安全平臺。

如果網(wǎng)絡安全戰(zhàn)略和云計算戰(zhàn)略不一致，那么是重新審視這兩方面的時候了。

2.企業(yè)的網(wǎng)絡安全模型是否足夠成熟和是否適合云計算?

根據(jù)企業(yè)的安全能力和先前的投資，這個問題可能很難回答。

將云集成到現(xiàn)有的企業(yè)安全程序中并不是要添加更多的控件或工具。這需要對企業(yè)的資源和業(yè)務需求進行評估，以便為其企業(yè)文化和云安全策略開發(fā)一種新的方法。

管理內聚混合云或多云安全程序，建立可見性和控制，并通過有效的威脅管理編排工作負載部署。

使用正確的工具獲得可見性對于每個安全團隊來說都是至關重要的。然而，首席信息安全官在監(jiān)督日常安全操作時并不知道確定云安全模型是否足夠成熟。與其相反，答案應該在很大程度上取決于安全態(tài)勢管理評估的結果。

在持續(xù)的基礎上進行安全態(tài)勢管理演習。這種評估旨在通過持續(xù)的監(jiān)控和審計，提供有關企業(yè)現(xiàn)有安全操作方案和總體違約準備情況的可操作情報。

并非所有的網(wǎng)絡安全模型都是為支持當今的云計算運營模型而設計的。安全態(tài)勢管理工具可以自動識別和糾正跨云基礎設施環(huán)境的風險，包括IaaS、PaaS和SaaS。此外，企業(yè)可以使用云安全態(tài)勢管理進行風險可視化和評估、事件響應、合規(guī)監(jiān)控和DevOps集成。這種評估還可以將云安全的最佳實踐統(tǒng)一應用到混合云、多云和容器環(huán)境中。

通過花費時間評估云網(wǎng)絡安全模型的成熟度，企業(yè)更接近于預測IT團隊和安全團隊可能需要采取的措施，以保護數(shù)據(jù)不受下一個技術進步或消費者行為變化的影響。企業(yè)離優(yōu)化安全策略以符合云計算相關業(yè)務需求又近了一步。

3.企業(yè)的網(wǎng)絡安全模式左移了嗎?

安全左移涉及在整個應用程序開發(fā)生命周期中整合網(wǎng)絡安全措施和測試最佳實踐。其目的是在過程中更早地識別和修復安全漏洞。這種方法需要在DevSecOps思維和能力上進行投資。如果實施得當，它可以加快上市時間，同時節(jié)省時間和費用。

以下是評估DevSecOps成熟度的問題:

·企業(yè)的云環(huán)境是否優(yōu)化了配置以通過自動化降低風險?

·企業(yè)是否采用了“基礎設施即代碼”、“安全即代碼”或“合規(guī)性即代碼”的框架，將安全威脅建模納入到架構設計中?

由于敏捷開發(fā)最佳實踐的流行和云計算技術的進步，應用程序開發(fā)已經(jīng)經(jīng)歷了這種左移。例如，自動化持續(xù)集成/持續(xù)交付測試、容器平臺和易于使用的公有云供應資源都變得越來越普遍——擴展檢測和響應、安全編排、自動化和響應工具也是如此。這些工具可以處理日常的安全操作中心警報，編排適當?shù)捻憫?，并對服務票?jù)基礎設施進行分類，以便對事件進行解釋，而無需人工干預。

隨著應用程序開發(fā)和安全操作變得更加自動化，這種左移的轉變將繼續(xù)獲得動力。確保企業(yè)網(wǎng)絡安全模型跟上發(fā)展潮流。