[[407308]]

企業(yè)IT管理人員需要了解如何有效并正確地管理云平臺的安全性。

云計算技術(shù)改變了企業(yè)的運營方式，提供按需訪問、巨大的可擴展性、更好的業(yè)務連續(xù)性以及許多其他好處，還包括企業(yè)不再依賴擁有和運營成本昂貴的數(shù)據(jù)中心。

盡管越來越多的企業(yè)正在將業(yè)務遷移到云平臺，但他們?nèi)栽诳紤]傳統(tǒng)數(shù)據(jù)中心的安全性。但他們還沒有接受這樣一個事實：需要采用截然不同的方法以截然不同的方式處理云安全。隨著云計算變得對業(yè)務變得更加關(guān)鍵，并且他們開始考慮他們的云安全態(tài)勢管理(CSPM)，這對企業(yè)的IT團隊來說將是一個挑戰(zhàn)。

對于內(nèi)部部署的數(shù)據(jù)中心，將日志添加到像傳統(tǒng)日志管理和事件關(guān)聯(lián)(SEIM)這樣的單一管理工具，并保護網(wǎng)絡邊界將是一種標準方法。對于許多早期采用云計算服務的企業(yè)來說，這是他們在新環(huán)境中采用的方法：在云平臺中建立一個“由IT控制”的網(wǎng)絡，并開始將云日志轉(zhuǎn)儲到傳統(tǒng)日志管理和事件關(guān)聯(lián)(SEIM)中。

但是有太多的活動和云計算訪問點，因此它無法成為一個可用的解決方案。日志是時間點記錄，而不是云計算所需的持續(xù)監(jiān)控。因此，雖然日志是必要的，但它們并不能提供完整的畫面，并且可能并不總是有用。安全邊界也隨著云計算從企業(yè)網(wǎng)絡到身份和訪問(IAM)的變化而變化，這需要采用一種完全不同的方法。僅僅依靠日志也不夠全面或敏捷，無法滿足各種服務、部署頻率以及用戶都接觸到多云環(huán)境的需求。

換句話說，模型變了，所以方法也必須改變。保護云平臺的工作負載意味著深入了解每個配置、每個資產(chǎn)和每個更改，以及持續(xù)識別風險的能力。但企業(yè)的IT團隊往往難以做出轉(zhuǎn)變。以下是一些不熟悉云安全態(tài)勢管理(CSPM)的團隊所遇到的常見挑戰(zhàn)，以及將這些挑戰(zhàn)轉(zhuǎn)化為機遇的方法。

挑戰(zhàn)1：思維方式的轉(zhuǎn)變

企業(yè)IT團隊在云安全方面面臨的最大挑戰(zhàn)將是停止像過去處理數(shù)據(jù)中心安全那樣處理它。這些思維方式的轉(zhuǎn)變之一是理解安全不再僅僅由孤島中的安全團隊決定。在云中，基礎(chǔ)設(shè)施是以代碼和自動化為中心部署的，這意味著安全必須融入到整個開發(fā)生命周期中。其挑戰(zhàn)在于讓每個人了解他們在整個產(chǎn)品生命周期中的角色和職責。

企業(yè)領(lǐng)導層需要制定一項計劃，將組織從以自上而下的控制和嚴格的政策為特征的內(nèi)部部署思維方式轉(zhuǎn)變?yōu)橐杂脩羰跈?quán)為導向，并通過平衡敏捷性和控制權(quán)的智能政策護欄。這可以通過戰(zhàn)略規(guī)劃、頭腦風暴、協(xié)作和支持來實現(xiàn)，不僅可以跨團隊，還可以通過企業(yè)高層來實現(xiàn)。這種思維方式的轉(zhuǎn)變還要求團隊成員更全面地了解安全性需要如何融入整個部署過程。

挑戰(zhàn)2：沒有提前確定安全的優(yōu)先級

不幸的是，許多企業(yè)的IT團隊沒有考慮安全性，有時甚至沒有考慮整體治理，直到為時已晚。無論他們有沒有預算，或者沒有擴大規(guī)模，或者只是不是最重要的事項，在云安全方面拖延可能會使企業(yè)面臨違規(guī)、不合規(guī)和其他高風險問題。另一方面，企業(yè)最初可能采取了過于嚴厲的方法，并實施了如此嚴格的控制，以致于他們無法在未來完全實現(xiàn)云計算和DevOps的承諾。

企業(yè)應該盡早考慮云安全性，這不僅包括采用正確的工具，還包括正確的流程和人員。從開始云遷移時就需要考慮安全性，因為安全需要從一開始就融入其工作流程。企業(yè)的目標不僅僅是建立一個流程，還要確保它足夠敏捷，能夠隨著不斷變化的云計算環(huán)境的需求而逐步擴展。

挑戰(zhàn)3：缺乏教育

企業(yè)啟動真正的云安全態(tài)勢管理(CSPM)程序來監(jiān)控云計算環(huán)境是云安全的一種關(guān)鍵方法。但企業(yè)通常只依賴技術(shù)，認為只擁有云安全態(tài)勢管理(CSPM)或依賴云計算供應商的能力就足夠了——這讓企業(yè)的IT團隊對他們需要發(fā)揮的積極作用知之甚少。希望保持云計算安全性的企業(yè)需要優(yōu)先考慮持續(xù)的教育和技能提升，不僅圍繞應用于云計算的傳統(tǒng)安全，還圍繞行業(yè)最佳實踐和云計算基礎(chǔ)知識。確定愿意深入研究的團隊成員，并將他們與企業(yè)的行業(yè)專家合作，或利用主要云計算提供商的免費教育工具來保持團隊的知識庫廣泛且不斷發(fā)展。

挑戰(zhàn)4：認為已被持續(xù)集成(CI)/持續(xù)交付(CD)覆蓋

企業(yè)通常會相信他們的云安全性得到了保障，因為他們已經(jīng)在持續(xù)集成(CI)/持續(xù)交付(CD)管道中構(gòu)建了控制，認為如果他們能夠發(fā)現(xiàn)管道中的問題，將能夠確保完美的部署。實際上，情況并非如此，因為更改經(jīng)常發(fā)生在管道之外，云計算提供商進行配置更新，無需通過正確的程序即可更新模板，或許多其他未記錄的更改，使其無法跟蹤所有內(nèi)容。

為了緩解這種情況，除了管道控制之外，還要制定一個持續(xù)監(jiān)控云計算的計劃，這樣企業(yè)不僅可以了解正在開發(fā)和已部署的內(nèi)容，而且還可以看到管道外正在發(fā)生的變化，這樣企業(yè)也可以為這種遷移創(chuàng)建響應計劃。

挑戰(zhàn)5：不知道安全基線

最后，許多企業(yè)并不知道他們在云平臺中或跨多云環(huán)境中擁有哪些資產(chǎn)，如果這些資產(chǎn)配置正確、是否合規(guī)或是否受到保護。這意味著，如果企業(yè)無法了解云中的內(nèi)容及其隨時間的變化情況，就無法利用云計算帶來的眾多優(yōu)勢。

首先為企業(yè)定義一組關(guān)于云中的內(nèi)容的標準，美國互聯(lián)網(wǎng)安全中心(CIS)和國家標準和技術(shù)協(xié)會 (NIST)是可以指導企業(yè)的安全狀況的行業(yè)標準框架。然后，使用云安全態(tài)勢管理(CSPM)工具獲得對整個云計算環(huán)境的可見性，以此衡量企業(yè)的資產(chǎn)基線以確保捕捉當前和未來的偏差，并可以快速修復任何問題。

面臨挑戰(zhàn)將成為未來的機遇

與啟動任何新計劃或采用任何更改一樣，云安全將需要不同的思維方式、一些新技能以及對實施徹底有效的云安全態(tài)勢管理(CSPM)方法的承諾。這將是一個挑戰(zhàn)，但企業(yè)在云計算之旅早期采用云安全，不僅可以確保企業(yè)的業(yè)務安全，還將提供更多的洞察力和好處。