1.我們的云環(huán)境合規(guī)性如何?

沒有一個在云中運行的企業(yè)組織的環(huán)境是100%符合監(jiān)管和安全政策的。但是，那些正確處理云安全的企業(yè)清楚地知道他們的環(huán)境在哪些方面符合規(guī)則，哪些方面不符合。他們可以確保的是，發(fā)生的例外都在規(guī)則之外，而且根據他們自己的優(yōu)先級排序，再使一切符合規(guī)則。

你應該在任何時候都清楚你的云環(huán)境的安全性和合規(guī)性如何。負責云安全的團隊應定期審查企業(yè)內部的安全制度是否完善，以確保它們可以解決你的案例和新興的攻擊向量。要了解你的團隊發(fā)現不符合要求的云基礎設施的過程，他們制定的補救程序以及解決時長等。

2.我們識別并消除了多少漏洞?

你的云安全狀況不是一成不變的，隨著你的團隊越來越善于識別和修復漏洞，它會隨著時間的推移而得到改善。你應該了解你的云環(huán)境中存在多少錯誤配置以及每天修復多少個漏洞。

由于這項工作通常涉及大量的手動工作，如監(jiān)控工具和票務系統(tǒng)，因此你會希望利用自動化來幫助你的團隊解決云環(huán)境中所涉及的復雜性。與具有專業(yè)知識領域的云安全專家合作，了解當前主要的云漏洞如何產生，并利用這些知識實現架構即代碼，用于自動檢查企業(yè)的云基礎設施是否存在相同的情況。架構即代碼旨在檢查其他代碼和運行環(huán)境中是否所需。它使所有云計算的利益相關者能夠安全地操作，而不會對規(guī)則以及如何在軟件開發(fā)生命周期的兩端進行應用產生歧義或分歧。

3.通過配置部署，我們消除了多少漏洞?

了解安全團隊在云環(huán)境中發(fā)現并修復了哪些漏洞，只是整體的安全問題中的一部分。你還想知道團隊通過采取哪些主動措施來減少部署錯誤配置的發(fā)生頻率。如果沒有把云安全前置，那么就會有不間斷的云漏洞流入你的環(huán)境，并且這是一場無休止的打地鼠游戲。

你的團隊是否在持續(xù)集成和持續(xù)交付 ( CI/CD )路徑中建立安全機制?你的團隊是否在檢查 infrastructure as code (一種以編程方式構建和部署云基礎設施的方法)以便發(fā)現發(fā)現和修復部署前的錯誤配置，并總結這樣做在什么時候是更快、更簡單、更安全?如果這里的答案是“否”，則可能是架構即代碼和 CI/CD 路徑尚未被采用。但如果這些都在使用，至少應該有一個計劃將這些安全問題納入流程。

4.我們是否保證了cloud API 網絡層的安全?

所有云計算漏洞都遵循相同模式：網絡層被破壞。應用程序編程接口 (API) 是云計算的主要驅動力;可將它們視為“軟件中間人”，允許不同的應用程序之間進行互動。API 網絡層是用于配置和操作云的 API 的集合。

黑客確實會尋找配置漏洞。不幸的是，安全防御技術仍然落后于黑客技術，因為許多供應商的解決方案不能使他們的客戶免受來自云控制平面的攻擊。坦率地說，他們中的大多數人更在乎如何讓高管和安全團隊有更好的管理體驗——直到他們被黑客入侵。這是非常常見的安全鬧劇。

5.安全給生產力拖了多少的后腿?

云與創(chuàng)新速度息息相關，而安全性是影響團隊發(fā)展速度和數字化轉型的首要因素。應用程序開發(fā)人員是否在等待他們需要部署的基礎設施?DevOps 團隊是否在等待對他們的基礎設施的安全性進行審批?你的云計算工程師是否在合規(guī)性上耗費大量時間，而他們本可以為公司和客戶創(chuàng)造更多價值?

定期測量開發(fā)人員和 DevOps 的吞吐量將有助于識別由于安全流程不足而導致的延誤，而這些延誤會拖累生產力和士氣。

6.我們如何表述安全策略?

這個問題有兩個答案：一個是用人類的語言編寫并由人類審查，另一個則是將策略即代碼編寫。如果答案是前者，那么你的云環(huán)境就無法保證足夠的安全性。人工審查到生效執(zhí)行需要一定時間，而云漏洞被利用只需幾分鐘。并且人為錯誤和編譯差異的風險始終存在。

實現了策略即代碼，機器每次都會隨時隨地以同樣的方式準確解釋策略，這意味著你可以持續(xù)評估更多的云基礎設施，這遠遠勝于人海戰(zhàn)術。如果安全策略的應用需要從一種部署更改為另一種部署，你可以將這些特例轉成代碼，這樣一切都有跡可循。當你在實施安全自動化時，可以在開發(fā)或部署中發(fā)現并修復問題，之后再投入生產。

7.我們對“零日攻擊”的處理能有多迅速?

今年早些時候的 Log4j 漏洞讓各地的安全團隊爭相響應。“零日攻擊”要求團隊快速準確地評估漏洞存在的位置及嚴重性，只有這樣才能及時響應和補救措施。

團隊不僅要能夠快速識別應用程序的漏洞，而且還要評估每個漏洞所能帶來的潛在傷害，以便根據嚴重程度確定修復的優(yōu)先排序。

8.所有團隊都具備成功所需的條件嗎?

在企業(yè)安全中沒有孤島。保障信息安全需要一種跨越團隊和成本的綜合方法，這需要管理層的支持和可觀的預算經費才能實現。保障安全性的成功取決于管理層的支持以及在預算和時間上進行適當投資。

9.失敗了會怎樣?

除了 CISO 外，我很少看到高管真正問自己這個問題。這并不難想象，想想 Imperva (一家以安全產品為主的公司)的云泄露事件，最終導致 CIO 的下臺。然后是 Capital One 的違規(guī)行為，這到目前為止仍是大型金融機構中最嚴重的泄露事件之一。還有今年年初的 Twitch 泄漏事件，不僅影響了 Twitch 自身，還波及到母公司亞馬遜。這與巴頓將軍擊敗隆美爾將軍不同，商界領袖不會有任何勝利，只能是不斷尋求避免失敗。

云安全是一項永恒的事業(yè)。你需要制定一條規(guī)定，要求持續(xù)報告企業(yè)的云安全狀況。如果你不想每天都和下面這些問題做斗爭的話：正在做什么來識別和修補漏洞、上周/上個月修復了多少漏洞，你在哪里可能暴露于能使你成為新聞頭條的漏洞當中，那么你就需要主動回答這些問題。

來源：www.infoworld.com

微信編譯：Viki