隨著消費(fèi)者期望和技術(shù)的發(fā)展繼續(xù)影響企業(yè)收集、存儲(chǔ)和共享有價(jià)值數(shù)據(jù)的方式,保護(hù)數(shù)據(jù)免受現(xiàn)有和高級(jí)的持續(xù)威脅的工作變得更加復(fù)雜。
首席信息安全官必須準(zhǔn)備好幫助IT團(tuán)隊(duì)和安全團(tuán)隊(duì)?wèi)?yīng)對(duì)不斷變化的云安全威脅。以下是每個(gè)首席信息安全官都應(yīng)該回答的關(guān)于云安全態(tài)勢(shì)的三個(gè)問(wèn)題。
1.企業(yè)的風(fēng)險(xiǎn)偏好是否與云計(jì)算策略一致?
企業(yè)需要了解自己的風(fēng)險(xiǎn)偏好,這是一個(gè)很好的機(jī)會(huì),但是從云計(jì)算策略的角度考慮風(fēng)險(xiǎn)偏好是很重要的,因?yàn)樵朴?jì)算運(yùn)營(yíng)模式固有地引入了新的安全風(fēng)險(xiǎn)。
許多因素會(huì)影響企業(yè)的風(fēng)險(xiǎn)偏好,其中包括以下因素:
·行業(yè)監(jiān)管和合規(guī)情況;
·全體員工的知識(shí)和經(jīng)驗(yàn);
·員工人數(shù)和地點(diǎn);
·硬件、軟件現(xiàn)代化狀況;
·IT和業(yè)務(wù)目標(biāo);
·治理過(guò)程和程序的成熟度;
·先前的網(wǎng)絡(luò)威脅事件;
·獨(dú)特的客戶(hù)基礎(chǔ)。
各個(gè)行業(yè)組織的風(fēng)險(xiǎn)偏好都是不同的,例如醫(yī)療設(shè)備初創(chuàng)公司的首席信息官與傳統(tǒng)銀行的首席信息官有著不同的風(fēng)險(xiǎn)偏好。
一旦企業(yè)建立了風(fēng)險(xiǎn)偏好概況,就要評(píng)估該度量是否與企業(yè)的治理、風(fēng)險(xiǎn)和合規(guī)性需求相一致。
云計(jì)算戰(zhàn)略和網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)該同步運(yùn)行。至少,IT安全團(tuán)隊(duì)?wèi)?yīng)該理解不同的云部署模型帶來(lái)的挑戰(zhàn)。他們還應(yīng)該接受云安全最佳實(shí)踐方面的教育,包括支持資產(chǎn)管理可見(jiàn)性的云原生安全平臺(tái)。
如果網(wǎng)絡(luò)安全戰(zhàn)略和云計(jì)算戰(zhàn)略不一致,那么是重新審視這兩方面的時(shí)候了。
2.企業(yè)的網(wǎng)絡(luò)安全模型是否足夠成熟和是否適合云計(jì)算?
根據(jù)企業(yè)的安全能力和先前的投資,這個(gè)問(wèn)題可能很難回答。
將云集成到現(xiàn)有的企業(yè)安全程序中并不是要添加更多的控件或工具。這需要對(duì)企業(yè)的資源和業(yè)務(wù)需求進(jìn)行評(píng)估,以便為其企業(yè)文化和云安全策略開(kāi)發(fā)一種新的方法。
管理內(nèi)聚混合云或多云安全程序,建立可見(jiàn)性和控制,并通過(guò)有效的威脅管理編排工作負(fù)載部署。
使用正確的工具獲得可見(jiàn)性對(duì)于每個(gè)安全團(tuán)隊(duì)來(lái)說(shuō)都是至關(guān)重要的。然而,首席信息安全官在監(jiān)督日常安全操作時(shí)并不知道確定云安全模型是否足夠成熟。與其相反,答案應(yīng)該在很大程度上取決于安全態(tài)勢(shì)管理評(píng)估的結(jié)果。
在持續(xù)的基礎(chǔ)上進(jìn)行安全態(tài)勢(shì)管理演習(xí)。這種評(píng)估旨在通過(guò)持續(xù)的監(jiān)控和審計(jì),提供有關(guān)企業(yè)現(xiàn)有安全操作方案和總體違約準(zhǔn)備情況的可操作情報(bào)。
并非所有的網(wǎng)絡(luò)安全模型都是為支持當(dāng)今的云計(jì)算運(yùn)營(yíng)模型而設(shè)計(jì)的。安全態(tài)勢(shì)管理工具可以自動(dòng)識(shí)別和糾正跨云基礎(chǔ)設(shè)施環(huán)境的風(fēng)險(xiǎn),包括IaaS、PaaS和SaaS。此外,企業(yè)可以使用云安全態(tài)勢(shì)管理進(jìn)行風(fēng)險(xiǎn)可視化和評(píng)估、事件響應(yīng)、合規(guī)監(jiān)控和DevOps集成。這種評(píng)估還可以將云安全的最佳實(shí)踐統(tǒng)一應(yīng)用到混合云、多云和容器環(huán)境中。
通過(guò)花費(fèi)時(shí)間評(píng)估云網(wǎng)絡(luò)安全模型的成熟度,企業(yè)更接近于預(yù)測(cè)IT團(tuán)隊(duì)和安全團(tuán)隊(duì)可能需要采取的措施,以保護(hù)數(shù)據(jù)不受下一個(gè)技術(shù)進(jìn)步或消費(fèi)者行為變化的影響。企業(yè)離優(yōu)化安全策略以符合云計(jì)算相關(guān)業(yè)務(wù)需求又近了一步。
3.企業(yè)的網(wǎng)絡(luò)安全模式左移了嗎?
安全左移涉及在整個(gè)應(yīng)用程序開(kāi)發(fā)生命周期中整合網(wǎng)絡(luò)安全措施和測(cè)試最佳實(shí)踐。其目的是在過(guò)程中更早地識(shí)別和修復(fù)安全漏洞。這種方法需要在DevSecOps思維和能力上進(jìn)行投資。如果實(shí)施得當(dāng),它可以加快上市時(shí)間,同時(shí)節(jié)省時(shí)間和費(fèi)用。
以下是評(píng)估DevSecOps成熟度的問(wèn)題:
·企業(yè)的云環(huán)境是否優(yōu)化了配置以通過(guò)自動(dòng)化降低風(fēng)險(xiǎn)?
·企業(yè)是否采用了“基礎(chǔ)設(shè)施即代碼”、“安全即代碼”或“合規(guī)性即代碼”的框架,將安全威脅建模納入到架構(gòu)設(shè)計(jì)中?
由于敏捷開(kāi)發(fā)最佳實(shí)踐的流行和云計(jì)算技術(shù)的進(jìn)步,應(yīng)用程序開(kāi)發(fā)已經(jīng)經(jīng)歷了這種左移。例如,自動(dòng)化持續(xù)集成/持續(xù)交付測(cè)試、容器平臺(tái)和易于使用的公有云供應(yīng)資源都變得越來(lái)越普遍——擴(kuò)展檢測(cè)和響應(yīng)、安全編排、自動(dòng)化和響應(yīng)工具也是如此。這些工具可以處理日常的安全操作中心警報(bào),編排適當(dāng)?shù)捻憫?yīng),并對(duì)服務(wù)票據(jù)基礎(chǔ)設(shè)施進(jìn)行分類(lèi),以便對(duì)事件進(jìn)行解釋?zhuān)鵁o(wú)需人工干預(yù)。
隨著應(yīng)用程序開(kāi)發(fā)和安全操作變得更加自動(dòng)化,這種左移的轉(zhuǎn)變將繼續(xù)獲得動(dòng)力。確保企業(yè)網(wǎng)絡(luò)安全模型跟上發(fā)展潮流。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門(mén)戶(hù),同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。