云安全:每個技術(shù)領(lǐng)導(dǎo)者需要了解的內(nèi)容
執(zhí)行應(yīng)用程序安全性評估
隨著DevOps等敏捷開發(fā)方法的快速普及,將安全性有效集成到企業(yè)的軟件開發(fā)生命周期對于安全地利用云計算至關(guān)重要。企業(yè)對于云安全方面最大的誤解之一是相信云計算服務(wù)提供商將為其托管的應(yīng)用程序和數(shù)據(jù)庫集成提供安全措施。實(shí)際上,大多數(shù)云計算服務(wù)提供商(包括AWS、Microsoft和Google)都采取的是共擔(dān)責(zé)任模式,企業(yè)需要承擔(dān)以下安全責(zé)任:
消費(fèi)者數(shù)據(jù);
應(yīng)用安全;
身份和訪問管理;
網(wǎng)絡(luò)和防火墻配置;
客戶端配置;
服務(wù)器端加密;
數(shù)據(jù)完整性身份驗(yàn)證。
而云計算服務(wù)提供商需要負(fù)責(zé)冗余、存儲、數(shù)據(jù)庫、網(wǎng)絡(luò)的安全。因此,將安全性和合規(guī)性集成到企業(yè)現(xiàn)有的持續(xù)集成和持續(xù)部署管道中變得至關(guān)重要。
為了提高云計算應(yīng)用程序的安全性,企業(yè)應(yīng)首先在安全開發(fā)生命周期(SDLC)中盡早識別安全漏洞。實(shí)際上,這意味著企業(yè)應(yīng)該在開發(fā)的最初階段融合安全架構(gòu)審查和安全代碼審查,以推動代碼的安全實(shí)施。許多安全解決方案供應(yīng)商已經(jīng)采用這種方法,為開發(fā)人員提供安全工具,其中包括培訓(xùn)、在集成開發(fā)環(huán)境(IDE)和持續(xù)集成管道中集成安全實(shí)踐。人們目前看到的問題包括安全解決方案供應(yīng)商的編程語言依賴性,盡管大型企業(yè)的開發(fā)生態(tài)系統(tǒng)中存在過多的編程語言。這些工具無法在不同的編程語言中提供相應(yīng)的質(zhì)量。例如,大型企業(yè)可以利用Node.js和Java安全工具有效識別Node.js漏洞,同時忽略Java中的安全風(fēng)險。面臨這些挑戰(zhàn)的企業(yè)需要優(yōu)先考慮其工具的定制,以實(shí)現(xiàn)跨編程語言的統(tǒng)一有效性。此外,企業(yè)可以利用基準(zhǔn)測試工具來了解各種安全解決方案供應(yīng)商的功效。
評估生產(chǎn)安全工具的功效對于保護(hù)云計算應(yīng)用程序也至關(guān)重要。建議首先啟動一個針對壓力測試關(guān)鍵安全控制的紫色團(tuán)隊(duì)練習(xí)。這種方法允許企業(yè)識別是否存在可能危及其云實(shí)例的攻擊路徑。為了更好地認(rèn)識到企業(yè)可以從安全團(tuán)隊(duì)中獲益,企業(yè)需要了解生產(chǎn)安全評估選項(xiàng)的前景。紅色團(tuán)隊(duì)練習(xí)提供了對手對企業(yè)安全態(tài)勢的看法,藍(lán)色團(tuán)隊(duì)練習(xí)提供了維護(hù)者的觀點(diǎn),紫色團(tuán)隊(duì)結(jié)合了對手和防守者的觀點(diǎn),提供了對信息安全風(fēng)險的全面評估。人們看到企業(yè)尋求建立或增強(qiáng)紫色團(tuán)隊(duì)能力的趨勢,有時在外部專家的幫助下實(shí)現(xiàn)。根據(jù)經(jīng)驗(yàn),企業(yè)可以通過將人工技術(shù)與自動化方法相結(jié)合,最有效地進(jìn)行生產(chǎn)中的紫色團(tuán)隊(duì)練習(xí)。這使企業(yè)可以減少因任何已識別的安全問題而導(dǎo)致的停機(jī)時間。重要的是,企業(yè)不要在質(zhì)量保證環(huán)境中進(jìn)行紫色團(tuán)隊(duì)練習(xí),因?yàn)檫@可能會降低其結(jié)果的有效性。
紫色團(tuán)隊(duì)評估可以幫助識別生產(chǎn)中的安全漏洞和業(yè)務(wù)差距,提供對分層防御(例如Web應(yīng)用程序防火墻(WAF)、安全網(wǎng)關(guān)、安全信息和事件管理(SIEM)、單點(diǎn)登錄和運(yùn)行)的功效的可見性時間應(yīng)用程序自我保護(hù)(RASP)。
保持強(qiáng)大的記錄和監(jiān)控能力
強(qiáng)大的日志記錄和監(jiān)控功能對于組織快速檢測和響應(yīng)影響其云部署的惡意活動至關(guān)重要。傳統(tǒng)上,提供日志收集和分析的安全信息和事件管理(SIEM)系統(tǒng)在安裝和維護(hù)方面具有挑戰(zhàn)性,日志保留也非常密集。由于模塊化功能,更新的安全信息和事件管理(SIEM)系統(tǒng)更易于部署。隨著企業(yè)越來越多地將日志存儲在云中,也減少了內(nèi)部部署的存儲。
企業(yè)領(lǐng)導(dǎo)者應(yīng)該努力使用安全信息和事件管理(SIEM)來實(shí)現(xiàn)針對云計算應(yīng)用程序和基礎(chǔ)設(shè)施利用的攻擊模式的單一控制平臺視圖。這是通過來自各種發(fā)現(xiàn)源(WAF或RASP)的日志聚合來實(shí)現(xiàn)的。企業(yè)應(yīng)該驗(yàn)證信息和事件管理(SIEM)功能的有效性,以創(chuàng)建連續(xù)的反饋循環(huán),從而使攻擊之間的共性成為分層防御和/或應(yīng)用程序代碼的規(guī)則集的變化。人們看到許多公司未能建立這種反饋循環(huán),影響了他們保護(hù)云中信息的能力。
屢見不鮮的數(shù)據(jù)泄露事件強(qiáng)調(diào)了這樣一個事實(shí),全球規(guī)模最大的企業(yè)也一直在與云安全作斗爭。企業(yè)的領(lǐng)導(dǎo)團(tuán)隊(duì)必須通過在其持續(xù)集成/持續(xù)部署(CI/CD)管道和生產(chǎn)環(huán)境中集成有效的安全控制和流程來應(yīng)對云安全風(fēng)險。此外,安全團(tuán)隊(duì)需要在非生產(chǎn)環(huán)境和生產(chǎn)環(huán)境之間創(chuàng)建一個連續(xù)的反饋循環(huán),以增強(qiáng)企業(yè)的整體安全態(tài)勢。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市