CISO需要知道云安全性能的真實數(shù)據(jù)。因為C級別的高管和董事會會一直問安全管理者風(fēng)險暴露相關(guān)的問題——“我們需要多高級別的安全？我們距離滿足合規(guī)要求還有多少距離？”——CISO們也在尋找能夠高效度量基于戰(zhàn)略目標(biāo)的云控制的方式，并且匯報這些發(fā)現(xiàn)。

如果沒有深入風(fēng)險和花費，以及高官們實際關(guān)心的其他信息安全度量的儀表盤，那么怎么才能正確度量云上的安全運維呢？

緩慢但堅定地，IT部門正在調(diào)整安全控制（文檔化的流程）和架構(gòu)模型來適應(yīng)公有和私有云環(huán)境里的信息系統(tǒng)。隨著預(yù)防性的，檢測性的和響應(yīng)式的控制正在進(jìn)入混合云模型，CISO們現(xiàn)在必須思考云里的管控以及新的信息安全度量標(biāo)準(zhǔn)，為了內(nèi)部跟蹤以及服務(wù)級別協(xié)議（SLA）。

有一些監(jiān)控活動，信息安全度量基本上都在內(nèi)部數(shù)據(jù)中心和云里。機會在于引入云環(huán)境的安全工具能夠大量抓取相同的數(shù)據(jù)，并且提供目前收集的任何信息安全度量。比如，虛擬防火墻設(shè)備日志丟棄或者堵塞的連接；基于云的漏洞掃描能夠報告基礎(chǔ)架構(gòu)即服務(wù)或者平臺即服務(wù)系統(tǒng)的系統(tǒng)以及補丁和暴露的狀態(tài)；基于主機的安全監(jiān)控工具記錄文件的訪問和配置的變化。

新的InfoSec云度量

但，CISO必須更多地關(guān)注于云里的性能指標(biāo)以及SLA相關(guān)的度量。這意味著安全團(tuán)隊需要研究能夠收集到的和云安全（云運維）相關(guān)的新度量。如果自動化的預(yù)配和Chef，Puppet這樣的編排工具一起工作，就能夠收集到實例生成和態(tài)勢評估的日志。事件則適用于管理活動，密碼工具和秘鑰使用及訪問，以及被批準(zhǔn)的配置的變形也能夠被監(jiān)控，從而確定云供應(yīng)商的安全態(tài)勢。重要的信息安全度量包括如下幾種：

管理登入云供應(yīng)商控制臺的次數(shù)

云環(huán)境里超過特定時間一直不活躍的“孤兒”賬號數(shù)量

啟動系統(tǒng)數(shù)量vs運行超過定義時間的系統(tǒng)數(shù)量（也就是說，在一段時間之后仍然在運行的系統(tǒng)）

使用批準(zhǔn)的配置的系統(tǒng)數(shù)量vs沒有使用批準(zhǔn)配置的系統(tǒng)數(shù)量

技術(shù)控制不足

安全資深管理還需要監(jiān)控云供應(yīng)商的合同義務(wù)，法律和供應(yīng)鏈方面的都需要監(jiān)控。在每份供應(yīng)商的合同里，通常會定義一系列的SLA，從標(biāo)準(zhǔn)運維能力（在線時間和性能）到安全相關(guān)的需求（事件響應(yīng)時間和法律或者鑒證請求）。一些云供應(yīng)商可能有義務(wù)滿足數(shù)據(jù)生命周期的需求，比如數(shù)據(jù)滯留，郵件消息的合法持有以及對設(shè)備和證據(jù)的產(chǎn)銷監(jiān)管鏈鑒證需求的響應(yīng)。

必須密切跟蹤這些合同義務(wù)并且向運維和執(zhí)行管理層匯報。還必須仔細(xì)監(jiān)控并且匯報云供應(yīng)商審計的任何變化和鑒證報告。如果供應(yīng)商的SOC 2報告里的控制聲明的重大變更是相關(guān)的，那么就必須由安全和法務(wù)團(tuán)隊公告并且評估。

雖然云服務(wù)花費更多地和運維以及開發(fā)團(tuán)隊相關(guān)，大多數(shù)成熟的部署現(xiàn)在也包括很多安全相關(guān)的費用。花費包括由安全技術(shù)導(dǎo)致的額外消耗到和“云上”工具和產(chǎn)品相關(guān)的許可證，到新的類似云訪問安全代理的服務(wù)?；ㄙM還可能包括認(rèn)證和加密服務(wù)，以及為這些環(huán)境提供控制的其他云服務(wù)。安全團(tuán)隊不能忽略云使用的財務(wù)和預(yù)算方面，因為信息安全控制和服務(wù)現(xiàn)在已經(jīng)是部署和運維的不可缺少的一部分。云度量可能包括隨時間產(chǎn)生的費用和預(yù)算，不可預(yù)見的變更（可能是積極也可能是消極的）以及花費在云上vs本地的整體安全預(yù)算的百分比。

模型還未成熟

另一個需要跟蹤的重要領(lǐng)域是云安全項目的整體成熟度。所有企業(yè)都想要知道和業(yè)界其他公司相比，他們的表現(xiàn)如何。并且該領(lǐng)域還缺少這一類別的比較基準(zhǔn)，我們需要從哪里先開始。

大多數(shù)安全團(tuán)隊使用類似的控制框架，比如國家標(biāo)準(zhǔn)技術(shù)局 800-53（National Institute of Standards and Technology (NIST) 800-53），NIST網(wǎng)絡(luò)安全框架，以及云安全聯(lián)盟云控制度量，和傳統(tǒng)的成熟模型，比如通用成熟度模型相結(jié)合。從任何角度看這都不是什么完美的方案，但是至少企業(yè)能夠?qū)⒈镜乜刂频某墒於群驮粕系南鄬Ρ?，并且研究能夠改進(jìn)的領(lǐng)域。目前，一些控制方法在云上還不太成熟。需要時間等待云供應(yīng)商改進(jìn)他們的能力，并且等待云環(huán)境里的原生集成更加穩(wěn)定。

無論你選擇哪種云度量，都需要確保收集反饋，并且確認(rèn)這些是否真的對利益相關(guān)者有用。安全資深管理趨向報告超級復(fù)雜的信息安全度量，或者僅僅是未整理的數(shù)據(jù)，這些對于業(yè)務(wù)高管來講并沒什么用處。這是我們在云上推進(jìn)時可以有意識阻止的不好趨勢。

關(guān)注于真正重要的事情：改進(jìn)安全控制的狀態(tài)，發(fā)現(xiàn)流程或者策略弱點并且修復(fù)它們，報告花銷并且滿足合規(guī)需求和成熟度目標(biāo)。關(guān)注于這些領(lǐng)域，那么一定能收獲很多。