云端已經(jīng)成為網(wǎng)絡(luò)安全的一大戰(zhàn)場，針對(duì)云的攻擊面有別于傳統(tǒng)數(shù)據(jù)中心，云環(huán)境受到攻擊時(shí)所使用的模式也大相徑庭，而且，云資源現(xiàn)在是應(yīng)用程序本身的獨(dú)立組件，尤其是在云原生環(huán)境中。如何守護(hù)云端安全？百億市值網(wǎng)絡(luò)安全巨頭Snyk發(fā)布的《The Five Fundamentals of Cloud Security》報(bào)告給出了實(shí)現(xiàn)云安全的五大基本要素。

　　01、企業(yè)需要了解其云環(huán)境

　　為成功抵御云攻擊，企業(yè)應(yīng)充分了解其云環(huán)境，這意味著企業(yè)要識(shí)別每個(gè)正在運(yùn)行的資源，并了解它們是如何配置的以及它們是如何交互的。企業(yè)如果能夠精確了解其云環(huán)境，并全面了解其安全態(tài)勢，企業(yè)將在安全堆棧上下都有清晰的視線，從而能夠識(shí)別應(yīng)用程序漏洞和零日漏洞帶來的基礎(chǔ)設(shè)施風(fēng)險(xiǎn)。時(shí)刻掌握云環(huán)境發(fā)生變化，企業(yè)便能夠立即評(píng)估每個(gè)變化對(duì)安全態(tài)勢的影響。

　　02、企業(yè)應(yīng)注重風(fēng)險(xiǎn)預(yù)防和安全架構(gòu)設(shè)計(jì)

　　如果只專注于防止資源配置錯(cuò)誤，而忽略安全架構(gòu)設(shè)計(jì)，一旦云平臺(tái)安全受到威脅并被利用，就會(huì)給云上應(yīng)用造成重大威脅。安全團(tuán)隊(duì)?wèi)?yīng)通過在各層級(jí)部署防御措施，實(shí)現(xiàn)系統(tǒng)多層次、多維度的安全防御，構(gòu)筑相對(duì)安全的防御模型，提升云平臺(tái)整體的防御能力。此外，由于云環(huán)境具有高度可變性，某些運(yùn)行時(shí)錯(cuò)誤配置不可避免，安全團(tuán)隊(duì)需要簡化并自動(dòng)化流程，以保持關(guān)鍵錯(cuò)誤配置事件的平均修復(fù)時(shí)間（MTTR）可以在幾分鐘內(nèi)（而不是幾小時(shí)或幾天）測量。

　　03、企業(yè)應(yīng)賦予相關(guān)團(tuán)隊(duì)相應(yīng)權(quán)限

　　傳統(tǒng)上，云安全一直是監(jiān)控部署后錯(cuò)誤配置的領(lǐng)域。基于此，安全團(tuán)隊(duì)需要使用云安全態(tài)勢管理工具來掃描最初由開發(fā)團(tuán)隊(duì)提供的運(yùn)行環(huán)境，這往往會(huì)使開發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)產(chǎn)生矛盾。而通過將 DevSecOps 方法應(yīng)用于云安全，使用基礎(chǔ)架構(gòu)即代碼進(jìn)行開發(fā)的人員能夠獲得有關(guān)安全問題和設(shè)計(jì)開發(fā)的自動(dòng)反饋，并就如何糾正這些問題獲得指導(dǎo)，安全團(tuán)隊(duì)對(duì)開發(fā)人員和DevOps扮演工具供應(yīng)商的角色，他們將自己嵌入云工程團(tuán)隊(duì)，以了解用例、架構(gòu)和工作流。

　　04、企業(yè)應(yīng)將云安全自動(dòng)化

　　大規(guī)模云環(huán)境能夠包含數(shù)十萬個(gè)資源，傳統(tǒng)的網(wǎng)絡(luò)監(jiān)管，僅僅依靠網(wǎng)絡(luò)安全工程師人工對(duì)網(wǎng)絡(luò)中存在的安全威脅進(jìn)行分析和處理已經(jīng)逐漸不能滿足當(dāng)下大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全分析要求，自動(dòng)化技術(shù)在云安全中顯得十分必要，通過使用自動(dòng)化技術(shù)，從而能夠加強(qiáng)對(duì)云安全的監(jiān)管力度。自動(dòng)化策略的思路是確定安全操作，進(jìn)而允許其根據(jù)本地風(fēng)險(xiǎn)策略以自動(dòng)的方式處理警報(bào)、事件或外部提供的網(wǎng)絡(luò)威脅情報(bào)。

　　05、企業(yè)應(yīng)能夠衡量云數(shù)據(jù)級(jí)別

　　如果企業(yè)不能夠確定云端數(shù)據(jù)的重要程度并無法對(duì)其進(jìn)行分級(jí)分類處理進(jìn)而追蹤，云安全就是一紙空文，目前來看，企業(yè)相關(guān)團(tuán)隊(duì)至少對(duì)其20%云數(shù)據(jù)不甚了解。如果企業(yè)能夠做到衡量云數(shù)據(jù)級(jí)別，企業(yè)就能夠確切地知道其環(huán)境在外部監(jiān)管和內(nèi)部安全策略方面的不合規(guī)程度，并有一個(gè)優(yōu)先級(jí)和可跟蹤的路線圖以實(shí)現(xiàn)合規(guī)。而且，企業(yè)能夠知道其在部署前阻止了多少漏洞，以及為每個(gè)人節(jié)省了多少時(shí)間。企業(yè)也能夠證明，云工程師正在更快地生成安全的IaC模板，云環(huán)境的審批時(shí)間大大縮短。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<