在与数百位客户合作的基础之上,我们开发出了 5 大云安全策略。虽然并非完美无瑕,但如果使用得当,该策略能够帮助您的团队建立一套面面俱到的云安全策略。 图 1:5 大云安全策略 在由于人为失误造成的事件当中,主要原因之一是对环境缺乏足够的认知。– Nullmeyer、Stella、Montijo 和 Harden,2005 年 1.了解云的状况,获得深度的可视性。 如果要简化云安全性及合规性工作,需要先了解目前开发人员和业务团队如何使用云。首先应该了解影子 IT 对于云的使用情况,当然,还不能仅仅满足于此。您的团队可以通过 80/20 法则,了解需要最先关注哪个云平台。然而,安全团队不仅要了解正在使用哪些云平台,还要了解这些云平台内部正在运行的内容。这就到了云提供商的 API 发挥作用的时刻。 API 是将云和大部分本地环境区分开来的关键技术之一,它能够持续掌握云环境中的状况。您不仅需要对企业正在使用的云应用了如指掌,还应该利用云提供商的 API 持续跟踪下至元数据层中的所有更改。 2.建立防线,自动阻止最严重的云配置错误。 问问自己,云环境中有哪些配置(错误的配置或反模式)永远不该出现?例如,数据库直接接收来自 Internet 的流量。我们都知道这是“最坏的做法”,但是 Unit 42 的威胁研究表明仍有 28% 的云环境中存在这种情况。您可以制定一份初步的清单,并随着云安全计划的日益成熟而不断扩展这份清单。两则重要的说明:任何时候如果需要建立自动化的防护,强烈建议首先进行小规模的试验,从而确保不会出现意外结果(例如,由自身问题造成拒绝服务)。与您的开发团队紧密合作。如果未得到开发团队的支持,请不要尝试进行自动化防护。从计划伊始便应该与开发团队共同合作,从基础做起,为未来的成功打好基础。 …
