5 大雲端安全策略：全面的雲端安全策略

This post is also available in: English (英語) 简体中文 (簡體中文) Français (法語) Deutsch (德語) 日本語 (日語) 한국어 (韓語) Nederlands (荷蘭語) Español (西班牙語) Italiano (義大利語)

在與數百位客戶合作的經驗基礎上，我們開發出 5 大雲端安全策略。雖然並非盡善盡美，但如果使用得當，它能夠幫助您的團隊擬定全面的雲端安全策略。

圖 1：5 大雲端安全策略

對環境缺乏足夠的認識，被認為是因人為錯誤導致事故發生的主要原因之一。– Nullmeyer，Stella、Montijo 和 Harden，2005 年

1.瞭解雲端環境，取得深入的可視性。

簡化雲端安全性與合規性工作的第一步，是瞭解開發人員和業務團隊目前如何使用雲端。首先需要瞭解影子 IT 對雲端的使用情況，但還不能僅僅滿足於此。遵循 80/20 法則，您的團隊可以確定需要首先關注的雲端平台。但是，安全團隊不僅要瞭解正在使用哪些雲端平台，也要瞭解在其中執行的內容。這就是雲端供應商的 API 發揮作用之處。

API 是使得雲端與大多數內部部署環境不同的關鍵技術之一。您需要始終掌握雲端環境中發生的情況，這不僅需要瞭解貴公司正在使用的雲端應用，也要運用雲端供應商的 API 持續追蹤直至中繼數據層的所有變化。

2.設定防護措施，自動防禦最嚴重的雲端錯誤設定。

問問自己，哪些設定 (錯誤設定或反面模式) 在我們的環境中不應該存在？例如，數據庫從網際網路直接獲得流量。這是「最不理想的做法」，但 Unit 42 的威脅研究指出，有 28% 的雲端環境中存在這種情況。隨著雲端安全計劃日趨成熟，有必要擬定初步的安全措施並逐步進行擴展。在此提出兩項重要注意事項：建立自動化防護之前，強烈建議首先進行小規模的試驗，確保不會產生意料之外的結果 (例如，自我造成的拒絕服務)。與開發團隊密切合作。如果沒有開發團隊的支援，請勿嘗試實作自動化防護。從一開始就與開發團隊合作，從基礎開始，為未來的成功奠定基礎。

3.標準是自動化的前提條件。

許多團隊在沒有建立標準的情況下就開始談論自動化。妥善的做法是隨時間推移，逐漸將 80% 的目標自動化。隨著在計劃中完成標準訂定，自動化的工作自然水到渠成。除非是新創公司，否則不要期待在 90 天內即可完成從無自動化到全自動化的轉換。企業通常需要至少九個月才能完成這個過程。

4.培訓和聘用編寫程式碼的安全工程師。

與大多數傳統的數據中心不同，公有雲環境是由 API 驅動。在雲端中進行成功的風險管理需要安全團隊運用 API。

根據貴公司的規模，先評估目前已有的技能。是否已經有團隊成員熟悉如何編寫 Python 或 Ruby 之類的程式碼？如果有，請大力投資這些團隊成員，根據建立成熟自動化防護的時間表調整自己的目標。團隊裡面沒有這樣的人？那麼您有幾個選擇。確認是否有人想要學習這些技術，並透過調查尋找開發團隊中對於安全技術感興趣的成員。如果訓練的目標一致，而且配置有妥善的資源，那麼可以培訓開發人員進行安全工作，也可以培訓安全工程師編寫程式碼。

如果貴公司在編寫程式碼方面並不擅長，一個不錯的選擇是聘用曾與許多組織有過合作經驗的短期顧問。您不會希望團隊不知道如何修改或使用指令碼。完成這個過程後，就可以在開發渠道中完全嵌入安全性。

5.在開發渠道中嵌入安全性。

在確定如何將程式碼推送到雲端時，需要確定相關人員、內容、時間和位置。完成這一點後，您的目標應該是為安全流程和工具找到破壞性最小的進入點。獲得開發團隊的早期支援極為重要。

結論

透過建構專注於「5 大雲端安全策略」的雲端安全策略，各種規模的安全組織都將享受公有雲所帶來的優勢，而長期以來只有開發團隊從這些優勢中受益。從基礎開始，為未來的成功奠定基礎。