實現雲安全的五大基本要素

雲端已經成爲網絡安全的一大戰場，針對雲的攻擊面有別於傳統數據中心，雲環境受到攻擊時所使用的模式也大相徑庭，而且，雲資源現在是應用程序本身的獨立組件，尤其是在雲原生環境中。如何守護雲端安全？百億市值網絡安全巨頭Snyk發佈的《The Five Fundamentals of Cloud Security》報告給出了實現雲安全的五大基本要素。

01、企業需要了解其雲環境

爲成功抵禦雲攻擊，企業應充分了解其雲環境，這意味着企業要識別每個正在運行的資源，並瞭解它們是如何配置的以及它們是如何交互的。企業如果能夠精確瞭解其雲環境，並全面瞭解其安全態勢，企業將在安全堆棧上下都有清晰的視線，從而能夠識別應用程序漏洞和零日漏洞帶來的基礎設施風險。時刻掌握雲環境發生變化，企業便能夠立即評估每個變化對安全態勢的影響。

02、企業應注重風險預防和安全架構設計

如果只專注於防止資源配置錯誤，而忽略安全架構設計，一旦雲平臺安全受到威脅並被利用，就會給雲上應用造成重大威脅。安全團隊應通過在各層級部署防禦措施，實現系統多層次、多維度的安全防禦，構築相對安全的防禦模型，提升雲平臺整體的防禦能力。此外，由於雲環境具有高度可變性，某些運行時錯誤配置不可避免，安全團隊需要簡化並自動化流程，以保持關鍵錯誤配置事件的平均修復時間（MTTR）可以在幾分鐘內（而不是幾小時或幾天）測量。

03、企業應賦予相關團隊相應權限

傳統上，雲安全一直是監控部署後錯誤配置的領域。基於此，安全團隊需要使用雲安全態勢管理工具來掃描最初由開發團隊提供的運行環境，這往往會使開發團隊和安全團隊產生矛盾。而通過將 DevSecOps 方法應用於雲安全，使用基礎架構即代碼進行開發的人員能夠獲得有關安全問題和設計開發的自動反饋，並就如何糾正這些問題獲得指導，安全團隊對開發人員和DevOps扮演工具供應商的角色，他們將自己嵌入雲工程團隊，以瞭解用例、架構和工作流。04、企業應將雲安全自動化

大規模雲環境能夠包含數十萬個資源，傳統的網絡監管，僅僅依靠網絡安全工程師人工對網絡中存在的安全威脅進行分析和處理已經逐漸不能滿足當下大數據時代下的網絡安全分析要求，自動化技術在雲安全中顯得十分必要，通過使用自動化技術，從而能夠加強對雲安全的監管力度。自動化策略的思路是確定安全操作，進而允許其根據本地風險策略以自動的方式處理警報、事件或外部提供的網絡威脅情報。

05、企業應能夠衡量雲數據級別如果企業不能夠確定雲端數據的重要程度並無法對其進行分級分類處理進而追蹤，雲安全就是一紙空文，目前來看，企業相關團隊至少對其20%雲數據不甚瞭解。如果企業能夠做到衡量雲數據級別，企業就能夠確切地知道其環境在外部監管和內部安全策略方面的不合規程度，並有一個優先級和可跟蹤的路線圖以實現合規。而且，企業能夠知道其在部署前阻止了多少漏洞，以及爲每個人節省了多少時間。企業也能夠證明，雲工程師正在更快地生成安全的IaC模板，雲環境的審批時間大大縮短。