云安全你需要问的几个重要问题
发布时间:2022-08-04 16:20:37 所属栏目:云计算 来源:互联网
导读:1.我们的云环境合规性如何? 没有一个在云中运行的企业组织的环境是100%符合监管和安全政策的。但是,那些正确处理云安全的企业清楚地知道他们的环境在哪些方面符合规则,哪些方面不符合。他们可以确保的是,发生的例外都在规则之外,而且根据他们自己的优先
|
1.我们的云环境合规性如何? 没有一个在云中运行的企业组织的环境是100%符合监管和安全政策的。但是,那些正确处理云安全的企业清楚地知道他们的环境在哪些方面符合规则,哪些方面不符合。他们可以确保的是,发生的例外都在规则之外,而且根据他们自己的优先级排序,再使一切符合规则。 2.我们识别并消除了多少漏洞? 你的云安全状况不是一成不变的,随着你的团队越来越善于识别和修复漏洞,它会随着时间的推移而得到改善。你应该了解你的云环境中存在多少错误配置以及每天修复多少个漏洞。 3.通过配置部署,我们消除了多少漏洞? 了解安全团队在云环境中发现并修复了哪些漏洞,只是整体的安全问题中的一部分。你还想知道团队通过采取哪些主动措施来减少部署错误配置的发生频率。如果没有把云安全前置,那么就会有不间断的云漏洞流入你的环境,并且这是一场无休止的打地鼠游戏。 4.我们是否保证了cloud API 网络层的安全? 所有云计算漏洞都遵循相同模式:网络层被破坏。应用程序编程接口 (API) 是云计算的主要驱动力;可将它们视为“软件中间人”,允许不同的应用程序之间进行互动。API 网络层是用于配置和操作云的 API 的集合。 黑客确实会寻找配置漏洞。不幸的是,安全防御技术仍然落后于黑客技术,因为许多供应商的解决方案不能使他们的客户免受来自云控制平面的攻击。坦率地说,他们中的大多数人更在乎如何让高管和安全团队有更好的管理体验——直到他们被黑客入侵。这是非常常见的安全闹剧。 5.安全给生产力拖了多少的后腿? 云与创新速度息息相关,而安全性是影响团队发展速度和数字化转型的首要因素。应用程序开发人员是否在等待他们需要部署的基础设施?DevOps 团队是否在等待对他们的基础设施的安全性进行审批?你的云计算工程师是否在合规性上耗费大量时间,而他们本可以为公司和客户创造更多价值? 定期测量开发人员和 DevOps 的吞吐量将有助于识别由于安全流程不足而导致的延误,而这些延误会拖累生产力和士气。 6.我们如何表述安全策略? 这个问题有两个答案:一个是用人类的语言编写并由人类审查,另一个则是将策略即代码编写。如果答案是前者,那么你的云环境就无法保证足够的安全性。人工审查到生效执行需要一定时间,而云漏洞被利用只需几分钟。并且人为错误和编译差异的风险始终存在。 实现了策略即代码,机器每次都会随时随地以同样的方式准确解释策略,这意味着你可以持续评估更多的云基础设施,这远远胜于人海战术。如果安全策略的应用需要从一种部署更改为另一种部署,你可以将这些特例转成代码,这样一切都有迹可循。当你在实施安全自动化时,可以在开发或部署中发现并修复问题,之后再投入生产。 7.我们对“零日攻击”的处理能有多迅速? 今年早些时候的 Log4j 漏洞让各地的安全团队争相响应。“零日攻击”要求团队快速准确地评估漏洞存在的位置及严重性,只有这样才能及时响应和补救措施。 团队不仅要能够快速识别应用程序的漏洞,而且还要评估每个漏洞所能带来的潜在伤害,以便根据严重程度确定修复的优先排序。 8.所有团队都具备成功所需的条件吗? 在企业安全中没有孤岛。保障信息安全需要一种跨越团队和成本的综合方法,这需要管理层的支持和可观的预算经费才能实现。保障安全性的成功取决于管理层的支持以及在预算和时间上进行适当投资。  (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号