随着云应用的持续加速,首席信息安全官必须帮助企业的IT团队和网络安全团队跟上云计算市场的发展,特别是在云安全态势方面。
如今,争论是否采用云计算技术的日子已经结束了。大多数企业都将业务迁移到云计算平台中,迁移了应用程序、数据和服务,以响应技术的进步和业务转变。
随着消费者期望和技术的发展继续影响企业收集、存储和共享有价值数据的方式,保护数据免受现有和高级的持续威胁的工作变得更加复杂。
首席信息安全官必须准备好帮助IT团队和安全团队应对不断变化的云安全威胁。以下是每个首席信息安全官都应该回答的关于云安全态势的三个问题。
1
企业的风险偏好是否与云计算策略一致?
企业需要了解自己的风险偏好,这是一个很好的机会,但是从云计算策略的角度考虑风险偏好是很重要的,因为云计算运营模式固有地引入了新的安全风险。
许多因素会影响企业的风险偏好,其中包括以下因素:
- 行业监管和合规情况;
- 全体员工的知识和经验;
- 员工人数和地点;
- 硬件、软件现代化状况;
- IT和业务目标;
- 治理过程和程序的成熟度;
- 先前的网络威胁事件;
- 独特的客户基础。
各个行业组织的风险偏好都是不同的,例如医疗设备初创公司的首席信息官与传统银行的首席信息官有着不同的风险偏好。
一旦企业建立了风险偏好概况,就要评估该度量是否与企业的治理、风险和合规性需求相一致。
云计算战略和网络安全战略应该同步运行。至少,IT安全团队应该理解不同的云部署模型带来的挑战。他们还应该接受云安全最佳实践方面的教育,包括支持资产管理可见性的云原生安全平台。
如果网络安全战略和云计算战略不一致,那么是重新审视这两方面的时候了。
2
企业的网络安全模型是否足够成熟和是否
适合云计算?
根据企业的安全能力和先前的投资,这个问题可能很难回答。
将云集成到现有的企业安全程序中并不是要添加更多的控件或工具。这需要对企业的资源和业务需求进行评估,以便为其企业文化和云安全策略开发一种新的方法。
管理内聚混合云或多云安全程序,建立可见性和控制,并通过有效的威胁管理编排工作负载部署。
使用正确的工具获得可见性对于每个安全团队来说都是至关重要的。然而,首席信息安全官在监督日常安全操作时并不知道确定云安全模型是否足够成熟。与其相反,答案应该在很大程度上取决于安全态势管理评估的结果。
在持续的基础上进行安全态势管理演习。这种评估旨在通过持续的监控和审计,提供有关企业现有安全操作方案和总体违约准备情况的可操作情报。
并非所有的网络安全模型都是为支持当今的云计算运营模型而设计的。安全态势管理工具可以自动识别和纠正跨云基础设施环境的风险,包括IaaS、PaaS和SaaS。此外,企业可以使用云安全态势管理进行风险可视化和评估、事件响应、合规监控和DevOps集成。这种评估还可以将云安全的最佳实践统一应用到混合云、多云和容器环境中。
通过花费时间评估云网络安全模型的成熟度,企业更接近于预测IT团队和安全团队可能需要采取的措施,以保护数据不受下一个技术进步或消费者行为变化的影响。企业离优化安全策略以符合云计算相关业务需求又近了一步。
3
企业的网络安全模式左移了吗?
安全左移涉及在整个应用程序开发生命周期中整合网络安全措施和测试最佳实践。其目的是在过程中更早地识别和修复安全漏洞。这种方法需要在DevSecOps思维和能力上进行投资。如果实施得当,它可以加快上市时间,同时节省时间和费用。
以下是评估DevSecOps成熟度的问题:
- 企业的云环境是否优化了配置以通过自动化降低风险?
- 企业是否采用了“基础设施即代码”、“安全即代码”或“合规性即代码”的框架,将安全威胁建模纳入到架构设计中?
由于敏捷开发最佳实践的流行和云计算技术的进步,应用程序开发已经经历了这种左移。例如,自动化持续集成/持续交付测试、容器平台和易于使用的公有云供应资源都变得越来越普遍——扩展检测和响应、安全编排、自动化和响应工具也是如此。这些工具可以处理日常的安全操作中心警报,编排适当的响应,并对服务票据基础设施进行分类,以便对事件进行解释,而无需人工干预。
随着应用程序开发和安全操作变得更加自动化,这种左移的转变将继续获得动力。确保企业网络安全模型跟上发展潮流。