【51CTO.com快譯】又是新的一年，又是新的一天。不過在做好迎接新生活的準備之前，我們首先應當回顧過去一年中云安全領域發生的種種事端。盡管有所改善，但2017年中需要學習與改進的地方還有很多。因此，我們將在今天的文章中對此進行深入探討。

[[180915]]

云安全性的巨大轉變：從***有到必須有

幾年之前，安全性還被普遍視為一種保險性舉措——有***，但絕非優先事務。過去一年的種種教訓讓我們對此有了新的認識，這主要是由于：

安全威脅滲透度進一步提升。

企業被迫重新審視遷移至云環境后的安全問題。

眾多企業對云計算感到緊張，而安全保障是解決這種焦慮的***方式。

很明顯，要對云環境中的數據加以保護，大家需要使用針對云構建的安全方案。越來越多的企業開始高度依賴于云安全機制，但這又帶來了新問題……

傳統陋習依然存在

安全性是云計算的必備因素，但只有配合正確的實施舉措才能發揮作用。在這方面，我們需要立足以下兩個角度做出調整：

1.過度依賴手動工具與流程

企業目前面臨的***難題之一是何時放棄放手。當員工離開公司后，我們需要確保將其賬戶從系統當中刪除，從而消除一切可能存在的潛在安全威脅。事實上，內部人士已經成為一類切實存在且不斷增長的風險來源。

考慮到這一嚴重風險，我們需要借助自動化手段進行用戶配置清退，從而在云安全領域建立起一套精確、一致且端到端的處理流程，確保每一次任務執行都能落實到位。

舉例來說，自動化機制能夠在警報系統中發揮出色的速度、準確性與安全性優勢。不少企業仍然要求安全人員手動處理警報信息，然而云環境下的警報通知往往成百上千，根本不是人力方式所能應對。因此，利用自動化方案進行優先級審查與警報過濾不僅能夠加快事件檢測與響應速度，亦可顯著降低人為錯誤與威脅遺漏數量。

2. 草率上馬DIY型安全方案

面對不計其數的云安全解決方案，令人驚訝的是許多企業仍然試圖DIY自己的安全方案。事實上，這種作法耗時、昂貴、充滿風險且大多毫無必要。

雖然您的云環境有其特殊性，但其絕非***。作為企業，大家應當將開發人員的精力引導至構建工具及增加業務價值身上，而非忙于開發所謂自主型安全體系。

另外需要注意的是，安全保障是一門復雜的學科，而開發理想的保護方案需要大量專業知識。現實情況是，大多數企業的安全問題存在相當程度的共性，完全可以通過定制化安全策略配合現成工具與咨詢服務的方式解決。

2017年安全規劃

著眼于新的一年，我們作為防守方該如何占得先機并保障安全?以下問題值得大家認真思考 ：

如果已經選擇云服務，您的安全水平處于何種程度?

您的全部設備是否都已經得到檢查?您如何確定這一點?

云服務是否真正適合您的主要安全目標并可解決相關安全漏洞?

您所在企業的管理層是否支持您的安全策略?他們是否理解安全性的價值以及目前的實施進度?

上述因素非常重要，甚至直接決定著您所在企業的安全性水平。而作為可行舉措，我們應當立足以下三點推進安全性升級。

1. 制定策略

今年，大家的目標應該是在聰明與易行之間找到平衡點。即安全水平的實現難度應該符合當前技術水平，而非盲目引入高復雜度因素。

為了實現這種平衡，大家應當立足宏觀進行分析：

企業的安全目標

企業面對的實際風險

實現安全覆蓋的障礙所在

找到答案之后，大家可以優先考慮選擇合適的工具、流程及工作流以滿足這些條件。

2. 定期進行自查

不要過度關注新聞報道中的那些大規模安全事故。相反，著眼于企業內部并整理出風險***的潛在威脅。事實上，新聞中公布的狀況往往永遠不會發生在您所在的企業中，因此別為無謂的問題分神。

3.利用指標進行評估與改進

數字往往是確定企業當前安全水平的***載體，亦可幫助我們制定可行目標并最終改善安全態勢。舉例來說，大家如果能夠查看用戶的日常活動，則意味著也能夠以同樣的方式發現一切危險行為并加以應對。舉例來說，您可以追蹤經常登錄非安全Wi-Fi網絡的員工并發出提醒，或者快速進行用戶賬戶清退以保證離職員工不會影響正常業務。

利用這些數據，我們可以與開發團隊進行數據驅動型討論，從而了解應當如何改進安全態勢、減少錯誤并降低風險。最有說服力的討論方式應該是“立足于這部分數據，我們希望讓這項指標隨時間推移逐步得到改善。大家覺得可行嗎?”這將讓對話從對抗轉化為基于客觀現實的協作嘗試，而這正是DevOps文化的核心主旨。

原文標題：Your Yearly Cloud Security Health Check，作者：Tim Armstrong

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】