安全是采用云計算用戶的一個主要問題。私有云和公共云都需要一個全面的安全態(tài)勢,以確保只有授權(quán)用戶可以訪問云計算資源,即用戶遵守云計算服務(wù)供應(yīng)商的政策,確保云計算流量和數(shù)據(jù)安全。
云計算安全管理者的角色為IT專業(yè)人士提供了令人興奮的就業(yè)機會,但其工作面試具有一定的挑戰(zhàn)性。如果IT人員希望進入云計算安全領(lǐng)域工作,或推進現(xiàn)有的云計算安全事業(yè)的發(fā)展,就需要準備應(yīng)對這些云計算安全的面試問題。
應(yīng)聘者的安全背景是什么?
云計算安全經(jīng)理的面試通常是從應(yīng)聘人員的教育經(jīng)歷和技術(shù)經(jīng)驗開始的。當涉及到安全性,尤其是云計算安全管理,通過一個正規(guī)的培訓有利于IT專業(yè)人員的應(yīng)聘,如要有供應(yīng)商中立的認證就更加有利。
例如,云計算安全管理者的應(yīng)聘者一般應(yīng)持有典型的信息系統(tǒng)安全專業(yè)認證(CISSP)。CISSP的培訓課程包括一系列的安全相關(guān)的問題,包括風險管理、安全工程、身份和訪問管理、網(wǎng)絡(luò)安全、評估和測試,以及安全風險相關(guān)的軟件開發(fā)等。
此外,應(yīng)聘者應(yīng)表現(xiàn)出對IT治理和法規(guī)遵從問題的深刻理解,以及對薩班斯-克斯利法案,或SOX和支付卡行業(yè)數(shù)據(jù)安全標準,或PCIDSS標準有著深刻的理解。
應(yīng)聘者目前的安全職責是什么?
這是一個最具要求的云計算安全面試問題。其目的就是了解應(yīng)聘者現(xiàn)在正在做什么工作,并衡量應(yīng)聘者如何滿足新角色的要求。
任何安全管理者都應(yīng)該知道如何保護現(xiàn)代服務(wù)器、桌面和移動操作系統(tǒng)。但云計算安全管理涉及到整個組織業(yè)務(wù)。云計算安全經(jīng)理必須設(shè)計、執(zhí)行和維護策略,確保地方和公共云基礎(chǔ)設(shè)施的所有元素安全。云計算安全管理的范圍也擴展到軟件開發(fā),其中可能涉及DevOps和系統(tǒng)工程團隊。
此外,云計算安全管理者需要優(yōu)先安排和協(xié)調(diào)不同的安全技術(shù),并與其他信息技術(shù)人員合作,部署和維護這些技術(shù)。
云安全戰(zhàn)略如何區(qū)別于本地安全策略?
雖然沒有一個單一的“正確”的方式對此作出回應(yīng),但要注意公共云的安全需要妥協(xié);組織要有較小的可見性,并控制他們的基礎(chǔ)設(shè)施的控制。確保云與內(nèi)部部署環(huán)境時,真正的區(qū)別是解決可見性和控制這方面的損失。
這提高了技術(shù)的利害關(guān)系,如對傳輸中和閑置的數(shù)據(jù)加密,并強調(diào)多因素身份驗證,加強訪問控制和用戶緊密的政策和流程的需要。也有新的應(yīng)用,如專門用于云發(fā)展那些微服務(wù)。這意味著云計算安全經(jīng)理必須為云應(yīng)用程序及其組件減少攻擊面。例如,微服務(wù)通常是通過API溝通,讓IT團隊應(yīng)該加密API調(diào)用或數(shù)據(jù)有效載荷。
軟件開發(fā)如何影響云計算安全?
云安全管理人員越來越多地參與軟件開發(fā),所以熟悉開發(fā)范例可以提高應(yīng)用程序開發(fā)、測試和部署的安全性。
云計算安全經(jīng)理應(yīng)該了解現(xiàn)代軟件開發(fā)方法,包括敏捷、持續(xù)集成和持續(xù)交付,和DevOps。雖然安全經(jīng)理不需要是一個編程專家,但也應(yīng)該知道如何防范軟件對云安全威脅,并部署應(yīng)用程序發(fā)布的安全。例如,云安全經(jīng)理可能會建議使用加密的API或與開發(fā)商的API集成了云提供商的身份和訪問管理服務(wù)。
云安全管理人員也應(yīng)該對基于云的企業(yè)應(yīng)用程序執(zhí)行風險評估,如谷歌驅(qū)動器,Dropbox,Workday和Slack,以及金融系統(tǒng)的應(yīng)用,如PeopleSoft,以及Salesforce這樣的CRM工具。
現(xiàn)在的管理職責是什么?
云計算安全管理發(fā)展的政策、標準和基準來促進統(tǒng)一和安全的IT基礎(chǔ)設(shè)施。他們還需要不斷地監(jiān)測變化的威脅,并確定和解決新的問題。
應(yīng)聘者必須具備良好的口頭和書面溝通能力,并能清楚地傳達給工程師、項目經(jīng)理、產(chǎn)品團隊和高級管理人員的技術(shù)問題和風險。云計算安全管理者還必須能夠組織和激勵員工學習眾多的技能,并在安全領(lǐng)域有很多的經(jīng)驗,所以管理者是一個專業(yè)團隊的建設(shè)者,可以帶領(lǐng)下屬實施職業(yè)發(fā)展。例如,談?wù)撊绾螆F結(jié)一個團隊,以確定一個新的威脅和設(shè)計適當?shù)姆烙芰Α?/p>
應(yīng)聘者真的為這個角色添加了價值?
這是常見的云計算機安全面試的問題,試圖看看不只是應(yīng)聘者能做的工作,而是能帶來什么,并向未來雇主顯示是一個有價值的人才。
通過討論如何通過安全標準或?qū)⑦@些標準如何應(yīng)用到應(yīng)聘者目前的工作中,其現(xiàn)有工作方式對未來的雇主是否有價值。例如,談?wù)撘恍┟嬖嚬龠€沒有使用過的安全工具或框架的經(jīng)驗。此外,討論應(yīng)聘者的工作資產(chǎn)將如何讓業(yè)務(wù)受益,包括改進的合規(guī)性情況,增加用戶的安全性等。