?如今，爭論是否采用云計算技術的日子已經結束了。大多數企業都將業務遷移到云計算平臺中，遷移了應用程序、數據和服務，以響應技術的進步和業務轉變。

隨著消費者期望和技術的發展繼續影響企業收集、存儲和共享有價值數據的方式，保護數據免受現有和高級的持續威脅的工作變得更加復雜。

首席信息安全官必須準備好幫助IT團隊和安全團隊應對不斷變化的云安全威脅。以下是每個首席信息安全官都應該回答的關于云安全態勢的三個問題。

1.企業的風險偏好是否與云計算策略一致?

企業需要了解自己的風險偏好，這是一個很好的機會，但是從云計算策略的角度考慮風險偏好是很重要的，因為云計算運營模式固有地引入了新的安全風險。

許多因素會影響企業的風險偏好，其中包括以下因素：

• 行業監管和合規情況;
• 全體員工的知識和經驗;
• 員工人數和地點;
• 硬件、軟件現代化狀況;
• IT和業務目標;
• 治理過程和程序的成熟度;
• 先前的網絡威脅事件;
• 獨特的客戶基礎。

各個行業組織的風險偏好都是不同的，例如醫療設備初創公司的首席信息官與傳統銀行的首席信息官有著不同的風險偏好。

一旦企業建立了風險偏好概況，就要評估該度量是否與企業的治理、風險和合規性需求相一致。

云計算戰略和網絡安全戰略應該同步運行。至少，IT安全團隊應該理解不同的云部署模型帶來的挑戰。他們還應該接受云安全最佳實踐方面的教育，包括支持資產管理可見性的云原生安全平臺。

如果網絡安全戰略和云計算戰略不一致，那么是重新審視這兩方面的時候了。

2.企業的網絡安全模型是否足夠成熟和是否適合云計算?

根據企業的安全能力和先前的投資，這個問題可能很難回答。

將云集成到現有的企業安全程序中并不是要添加更多的控件或工具。這需要對企業的資源和業務需求進行評估，以便為其企業文化和云安全策略開發一種新的方法。

管理內聚混合云或多云安全程序，建立可見性和控制，并通過有效的威脅管理編排工作負載部署。

使用正確的工具獲得可見性對于每個安全團隊來說都是至關重要的。然而，首席信息安全官在監督日常安全操作時并不知道確定云安全模型是否足夠成熟。與其相反，答案應該在很大程度上取決于安全態勢管理評估的結果。

在持續的基礎上進行安全態勢管理演習。這種評估旨在通過持續的監控和審計，提供有關企業現有安全操作方案和總體違約準備情況的可操作情報。

并非所有的網絡安全模型都是為支持當今的云計算運營模型而設計的。安全態勢管理工具可以自動識別和糾正跨云基礎設施環境的風險，包括IaaS、PaaS和SaaS。此外，企業可以使用云安全態勢管理進行風險可視化和評估、事件響應、合規監控和DevOps集成。這種評估還可以將云安全的最佳實踐統一應用到混合云、多云和容器環境中。

通過花費時間評估云網絡安全模型的成熟度，企業更接近于預測IT團隊和安全團隊可能需要采取的措施，以保護數據不受下一個技術進步或消費者行為變化的影響。企業離優化安全策略以符合云計算相關業務需求又近了一步。

3.企業的網絡安全模式左移了嗎?

安全左移涉及在整個應用程序開發生命周期中整合網絡安全措施和測試最佳實踐。其目的是在過程中更早地識別和修復安全漏洞。這種方法需要在DevSecOps思維和能力上進行投資。如果實施得當，它可以加快上市時間，同時節省時間和費用。

以下是評估DevSecOps成熟度的問題:

• 企業的云環境是否優化了配置以通過自動化降低風險?
• 企業是否采用了“基礎設施即代碼”、“安全即代碼”或“合規性即代碼”的框架，將安全威脅建模納入到架構設計中?

由于敏捷開發最佳實踐的流行和云計算技術的進步，應用程序開發已經經歷了這種左移。例如，自動化持續集成/持續交付測試、容器平臺和易于使用的公有云供應資源都變得越來越普遍——擴展檢測和響應、安全編排、自動化和響應工具也是如此。這些工具可以處理日常的安全操作中心警報，編排適當的響應，并對服務票據基礎設施進行分類，以便對事件進行解釋，而無需人工干預。

隨著應用程序開發和安全操作變得更加自動化，這種左移的轉變將繼續獲得動力。確保企業網絡安全模型跟上發展潮流。