云計算已經(jīng)獲得了大量企業(yè)用戶的青睞，并成為其數(shù)字化轉(zhuǎn)型發(fā)展的基礎(chǔ)，但是也面臨著各種各樣的風(fēng)險，從勒索軟件到供應(yīng)鏈攻擊，再到云內(nèi)部威脅和配置錯誤，各種云安全事件層出不窮。隨著更多的企業(yè)將其業(yè)務(wù)應(yīng)用遷移至云端，保護云環(huán)境的安全運行已成為企業(yè)領(lǐng)導(dǎo)者面臨的最重大挑戰(zhàn)之一。

云安全運營的挑戰(zhàn)

為了應(yīng)對不斷發(fā)展的云安全威脅和挑戰(zhàn)，現(xiàn)代企業(yè)需要構(gòu)建一個更加先進、更加強大、更加全面的云安全運營管理體系。與傳統(tǒng)網(wǎng)絡(luò)安全運營模式相比，企業(yè)開展云安全運營工作會面臨以下挑戰(zhàn)：

1、安全運營職責(zé)不明

盡管云安全已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略的核心部分。然而在大多數(shù)企業(yè)中，云運營團隊與安全運營團隊仍然各司其職，導(dǎo)致安全工作與業(yè)務(wù)運營工作處于割裂的狀態(tài)。此外，很多企業(yè)還錯誤地認為組織的云工作負載以及相關(guān)的應(yīng)用、數(shù)據(jù)會受到云服務(wù)提供商(CSP)的保護，但事實上并非如此。

2、缺乏可見性

云計算環(huán)境的動態(tài)特性使安全監(jiān)控變得更加困難，這讓云上的影子IT大量存在。由于許多企業(yè)在開發(fā)、安全和IT運維團隊之間分擔責(zé)任，因此當攻擊者在云環(huán)境中橫向移動時，就會存在大量的安全盲點。這就需要對所有云資源的完整可見性進行監(jiān)測。

3、安全工具泛濫

據(jù)Palo Alto最新發(fā)布的《2023年云原生安全狀況報告》數(shù)據(jù)顯示，企業(yè)組織目前平均需要使用30種以上的安全工具來構(gòu)建云應(yīng)用的整體安全性，其中有1/3的產(chǎn)品專門應(yīng)用于云安全。但這種復(fù)雜性并沒有帶來可靠的安全性，反而導(dǎo)致日常云安全運營中的問題不斷出現(xiàn)。盡管有超過60%的受訪企業(yè)已經(jīng)使用了云服務(wù)3年以上時間，但云安全運營維護的復(fù)雜性正在阻礙它們進一步將數(shù)字化業(yè)務(wù)系統(tǒng)向云上遷移。

CloudSecOps的三大原則

面對以上云安全運營挑戰(zhàn)，CloudSecOps概念應(yīng)運而生，旨在將安全優(yōu)先的理念融入從規(guī)劃構(gòu)建到部署應(yīng)用，再到安全監(jiān)控的整個云運營生命周期中，從而確保安全工作不只是被動的攻擊事件響應(yīng)，而是云運營戰(zhàn)略的必要組成部分。

從某種意義上說，CloudSecOps代表了現(xiàn)代企業(yè)組織開展云安全能力建設(shè)方式的重大轉(zhuǎn)變。它強調(diào)需要采取主動而不是被動的安全方法。借助CloudSecOps，企業(yè)可以在不影響速度、靈活性或可擴展性的情況下，為云上的業(yè)務(wù)系統(tǒng)提供更可靠的安全性。

CloudSecOps的出現(xiàn)也反映了企業(yè)組織開始認識到，僅僅保護云基礎(chǔ)設(shè)施的安全性是遠遠不夠的，企業(yè)需要在安全第一理念的指導(dǎo)下，確保云安全運營工作符合以下原則：

1、將安全能力融入云運營體系中

CloudSecOps的關(guān)鍵原則之一就是將多種安全能力集成到云運營體系中。這意味著安全應(yīng)該成為企業(yè)云戰(zhàn)略的核心部分，而不僅僅是附加功能。

在實際工作中，集成安全能力需要將安全控制措施整合到云基礎(chǔ)設(shè)施和應(yīng)用軟件中，還需要將安全態(tài)勢分析納入云運營的決策過程中，確保企業(yè)的所有成員都理解安全的重要性。

集成安全能力可以為云安全運營團隊提供諸多好處，它有助于防止安全漏洞，降低數(shù)據(jù)丟失的風(fēng)險，并增強企業(yè)的整體安全態(tài)勢。此外，還能夠幫助企業(yè)節(jié)省運營成本，并減少安全事件的響應(yīng)難度。

2、持續(xù)監(jiān)控和合規(guī)檢查

實現(xiàn)持續(xù)地安全性監(jiān)控和合規(guī)檢查是CloudSecOps的另一個重要原則。這包括定期檢查云環(huán)境是否存在潛在的安全威脅因素，并確保所有云運營工作符合相關(guān)法規(guī)和標準。

安全監(jiān)控和合規(guī)檢查可以通過多種方式來實現(xiàn)，包括通過自動化工具和人工檢查。目的是盡快檢測并響應(yīng)任何潛在的安全問題， 以免造成任何破壞。

在CloudSecOps流程中，要求確保所有云運營工作都遵守適用的法規(guī)和標準，比如GDPR或HIPAA。開展合規(guī)檢查有助于企業(yè)避免法律問題，保護企業(yè)的聲譽，并確?？蛻魯?shù)據(jù)得到負責(zé)的處理。

3、主動風(fēng)險管理

CloudSecOps的第三個關(guān)鍵原則是主動開展風(fēng)險管理。在潛在的安全風(fēng)險因素造成實際破壞之前識別和消除它們。

CloudSecOps中的風(fēng)險管理包括兩大步驟：首先，企業(yè)必須識別云運營中的潛在風(fēng)險。這可以通過風(fēng)險評估、審計和威脅建模來完成;第二，在確定了風(fēng)險之后，企業(yè)應(yīng)該采取有效措施來消除風(fēng)險。這可能需要實施安全控制措施、制定應(yīng)急計劃以及培訓(xùn)員工處理潛在威脅等。

CloudSecOps技術(shù)與工具

企業(yè)組織在開展CloudSecOps運營工作時，通常需要借助以下技術(shù)和工具提升運營效率：

1、入侵檢測和預(yù)防系統(tǒng)

IDPS是CloudSecOps中的一種關(guān)鍵工具，可用于監(jiān)控云上的可疑活動并防范潛在的安全漏洞。這類系統(tǒng)能夠分析云上的網(wǎng)絡(luò)流量，識別可能存在安全威脅的活動模式。一旦發(fā)現(xiàn)威脅，IDPS系統(tǒng)可以采取管控措施，如阻止攻擊、提醒安全團隊或執(zhí)行其他必要的操作。

2、安全日志信息和事件管理

安全日志信息和事件管理(SIEM)是CloudSecOps中的另一種常用工具。SIEM工具可以從多個來源收集和分析與安全相關(guān)的數(shù)據(jù)，為企業(yè)組織提供展現(xiàn)安全狀態(tài)的統(tǒng)一視圖，有助于檢測潛在的安全威脅、管理事件響應(yīng)，并確保云應(yīng)用的合規(guī)。此外，SIEM還可以提供對云應(yīng)用安全態(tài)勢的預(yù)測洞察，發(fā)現(xiàn)需要改進的地方。

3、云訪問安全代理(CASB)

云訪問安全代理(CASB)是一種被廣泛使用的云安全工具，提供對云服務(wù)的可見性和控制。CASB幫助企業(yè)實施安全策略，防止數(shù)據(jù)泄漏，并提供對云環(huán)境威脅的保護。CASB通常介于企業(yè)組織和云服務(wù)提供商之間，監(jiān)視所有云應(yīng)用流量并執(zhí)行安全策略，有助于確保所有云活動都符合安全合規(guī)要求。

4、配置管理和合規(guī)工具

配置管理和合規(guī)工具對于維護云運營的安全合規(guī)也非常重要。這類工具能夠幫助實現(xiàn)云資源管理的自動化，并確保根據(jù)安全最佳實踐進行配置。此外，配置管理工具還有助于確保遵守法規(guī)和標準。它們可以監(jiān)視云環(huán)境中的任何變化，并在檢測到不兼容的配置時向安全團隊發(fā)送警報。

CloudSecOps應(yīng)用實踐

要在高度動態(tài)的云環(huán)境中做好安全運營工作并不容易。相比傳統(tǒng)安全運營模式，云安全運營工作需要能夠適應(yīng)“安全優(yōu)先”和“云原生”的應(yīng)用環(huán)境，并根據(jù)云環(huán)境的需求發(fā)展不斷優(yōu)化運營策略和方法，從而持續(xù)監(jiān)測云計算應(yīng)用的安全風(fēng)險并及時響應(yīng)。研究人員總結(jié)梳理了開展CloudSecOps運營工作時的幾個最佳實踐：

1、實施強大的IAM策略

實施可靠的IAM策略是組織啟動CloudSecOps戰(zhàn)略的基礎(chǔ)，要為每個用戶設(shè)置適當?shù)臋?quán)限和角色，以防止對云資源的不安全訪問。借助有效的IAM策略，企業(yè)可以確保只有合適的人才能在合適的時間訪問合適的資源。

可靠的IAM策略始于認真規(guī)劃。企業(yè)應(yīng)該確定需要訪問云資源的所有利益相關(guān)者，并了解他們的角色和職責(zé)，這一步至關(guān)重要。一旦明確了這些要求，就可以圍繞它們設(shè)計IAM策略。目前市面上的IAM工具提供細粒度控制，允許用戶根據(jù)特定需求和角色定制權(quán)限。

實施強大IAM策略的另一個關(guān)鍵方面是定期審計。它有助于識別任何異?；驖撛诘陌踩{。定期審計還可以確保IAM策略隨企業(yè)的發(fā)展而與時俱進。

2、將安全集成到CI/CD管道中

將安全集成到CI/CD管道中是CloudSecOps的另一個關(guān)鍵實踐。它需要到將安全融入軟件開發(fā)生命周期從設(shè)計和開發(fā)到部署和維護的每個階段，旨在及早發(fā)現(xiàn)并修復(fù)安全問題，以免成為嚴重漏洞。

DevSecOps始于觀念的轉(zhuǎn)變。企業(yè)不應(yīng)將安全視為事后考慮的環(huán)節(jié)，而是開發(fā)過程的必要組成部分。它要求開發(fā)人員像安全人員一樣思考，要求安全團隊理解開發(fā)過程。這種相互理解營造了所有人都有責(zé)任確保安全的協(xié)作環(huán)境。

工具和自動化在DevSecOps中扮演著重要的角色。自動安全掃描可以檢測代碼庫中的漏洞，而持續(xù)集成工具有助于將這種掃描集成到開發(fā)過程中。這些工具簡化了流程，并確保一致高效的安全實踐。

3、制定事件響應(yīng)和災(zāi)難恢復(fù)計劃

盡管企業(yè)盡了最大的努力，安全事件和災(zāi)難還是會發(fā)生。這就是為什么有效的CloudSecOps戰(zhàn)略必須包括事件響應(yīng)和災(zāi)難恢復(fù)規(guī)劃。這類計劃概述了發(fā)生安全事件或災(zāi)難時應(yīng)采取的步驟，以盡量減小對企業(yè)運營的影響，并確保迅速恢復(fù)正常。

事件響應(yīng)規(guī)劃始于確定可能影響云運營的潛在事件。這可能涵蓋一系列場景，從數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊到自然災(zāi)害和系統(tǒng)故障。一旦確定了這些場景，再為每個場景制定詳細的響應(yīng)計劃。

另一方面，災(zāi)難恢復(fù)規(guī)劃側(cè)重于在發(fā)生重大中斷時恢復(fù)運營。這需要制定一項詳細的策略，概述如何恢復(fù)數(shù)據(jù)、恢復(fù)系統(tǒng)和恢復(fù)運營。這還需要定期測試，以確保計劃的有效性，并作出必要的調(diào)整。

4、管理第三方風(fēng)險

在云計算時代，許多企業(yè)依靠第三方服務(wù)完成運營的各個方面。雖然這些服務(wù)具有許多好處，但也帶來了潛在的安全風(fēng)險。因此，管理第三方風(fēng)險是CloudSecOps的一個關(guān)鍵方面。

管理第三方風(fēng)險需要綜合的方法，這始于選擇供應(yīng)商過程中的摸底調(diào)查，包括評估潛在供應(yīng)商的安全實踐、遵守行業(yè)標準的情況以及處理安全事件方面的以往表現(xiàn)。

一旦選好了供應(yīng)商，就必須進行持續(xù)監(jiān)控。這包括定期審查供應(yīng)商的表現(xiàn)，確保對方遵守約定的安全實踐，并及時解決任何問題。在一些情況下，還需要進行定期審計，以核實合規(guī)情況。

5、持續(xù)監(jiān)控和合規(guī)

持續(xù)監(jiān)控和合規(guī)是維護云運營安全性和完整性的基礎(chǔ)。它包括跟蹤云環(huán)境的活動、識別潛在威脅，并確保持續(xù)遵守行業(yè)標準和法規(guī)。

持續(xù)監(jiān)控提供了實時洞察云運營的優(yōu)點。它使企業(yè)能夠檢測異常、調(diào)查潛在威脅，并迅速響應(yīng)。這種主動地方法可以盡量減少安全事件的風(fēng)險，并有助于保持運營效率。

另一方面，合規(guī)確保企業(yè)的云運營遵守相關(guān)的行業(yè)標準和法規(guī)。這需要定期審計，以核實合規(guī)、法規(guī)變化后更新實踐，并及時處理任何合規(guī)問題。

參考鏈接：https://gbhackers.com/cloudsecops/。