欧美日本日韩aⅴ在线视频_中文字幕乱码人妻一区二区三区_久久久久青草大香综合精品,_精品久久久久久久精品观看免费_自慰无码免费一区二区三区

新聞中心

首頁 > 新聞中心 > 行業(yè)新聞 >

如何正確度量云上的安全運(yùn)維?

時(shí)間:2016-11-01 14:21:07   閱讀:

        CISO需要知道云安全性能的真實(shí)數(shù)據(jù)。因?yàn)镃級(jí)別的高管和董事會(huì)會(huì)一直問安全管理者風(fēng)險(xiǎn)暴露相關(guān)的問題——“我們需要多高級(jí)別的安全?我們距離滿足合規(guī)要求還有多少距離?”——CISO們也在尋找能夠高效度量基于戰(zhàn)略目標(biāo)的云控制的方式,并且匯報(bào)這些發(fā)現(xiàn)。

如果沒有深入風(fēng)險(xiǎn)和花費(fèi),以及高官們實(shí)際關(guān)心的其他信息安全度量的儀表盤,那么怎么才能正確度量云上的安全運(yùn)維呢?

緩慢但堅(jiān)定地,IT部門正在調(diào)整安全控制(文檔化的流程)和架構(gòu)模型來適應(yīng)公有和私有云環(huán)境里的信息系統(tǒng)。隨著預(yù)防性的,檢測(cè)性的和響應(yīng)式的控制正在進(jìn)入混合云模型,CISO們現(xiàn)在必須思考云里的管控以及新的信息安全度量標(biāo)準(zhǔn),為了內(nèi)部跟蹤以及服務(wù)級(jí)別協(xié)議(SLA)。

有一些監(jiān)控活動(dòng),信息安全度量基本上都在內(nèi)部數(shù)據(jù)中心和云里。機(jī)會(huì)在于引入云環(huán)境的安全工具能夠大量抓取相同的數(shù)據(jù),并且提供目前收集的任何信息安全度量。比如,虛擬防火墻設(shè)備日志丟棄或者堵塞的連接;基于云的漏洞掃描能夠報(bào)告基礎(chǔ)架構(gòu)即服務(wù)或者平臺(tái)即服務(wù)系統(tǒng)的系統(tǒng)以及補(bǔ)丁和暴露的狀態(tài);基于主機(jī)的安全監(jiān)控工具記錄文件的訪問和配置的變化。

新的InfoSec云度量

但,CISO必須更多地關(guān)注于云里的性能指標(biāo)以及SLA相關(guān)的度量。這意味著安全團(tuán)隊(duì)需要研究能夠收集到的和云安全(云運(yùn)維)相關(guān)的新度量。如果自動(dòng)化的預(yù)配和Chef,Puppet這樣的編排工具一起工作,就能夠收集到實(shí)例生成和態(tài)勢(shì)評(píng)估的日志。事件則適用于管理活動(dòng),密碼工具和秘鑰使用及訪問,以及被批準(zhǔn)的配置的變形也能夠被監(jiān)控,從而確定云供應(yīng)商的安全態(tài)勢(shì)。重要的信息安全度量包括如下幾種:

管理登入云供應(yīng)商控制臺(tái)的次數(shù)

云環(huán)境里超過特定時(shí)間一直不活躍的“孤兒”賬號(hào)數(shù)量

啟動(dòng)系統(tǒng)數(shù)量vs運(yùn)行超過定義時(shí)間的系統(tǒng)數(shù)量(也就是說,在一段時(shí)間之后仍然在運(yùn)行的系統(tǒng))

使用批準(zhǔn)的配置的系統(tǒng)數(shù)量vs沒有使用批準(zhǔn)配置的系統(tǒng)數(shù)量

技術(shù)控制不足

安全資深管理還需要監(jiān)控云供應(yīng)商的合同義務(wù),法律和供應(yīng)鏈方面的都需要監(jiān)控。在每份供應(yīng)商的合同里,通常會(huì)定義一系列的SLA,從標(biāo)準(zhǔn)運(yùn)維能力(在線時(shí)間和性能)到安全相關(guān)的需求(事件響應(yīng)時(shí)間和法律或者鑒證請(qǐng)求)。一些云供應(yīng)商可能有義務(wù)滿足數(shù)據(jù)生命周期的需求,比如數(shù)據(jù)滯留,郵件消息的合法持有以及對(duì)設(shè)備和證據(jù)的產(chǎn)銷監(jiān)管鏈鑒證需求的響應(yīng)。

必須密切跟蹤這些合同義務(wù)并且向運(yùn)維和執(zhí)行管理層匯報(bào)。還必須仔細(xì)監(jiān)控并且匯報(bào)云供應(yīng)商審計(jì)的任何變化和鑒證報(bào)告。如果供應(yīng)商的SOC 2報(bào)告里的控制聲明的重大變更是相關(guān)的,那么就必須由安全和法務(wù)團(tuán)隊(duì)公告并且評(píng)估。

雖然云服務(wù)花費(fèi)更多地和運(yùn)維以及開發(fā)團(tuán)隊(duì)相關(guān),大多數(shù)成熟的部署現(xiàn)在也包括很多安全相關(guān)的費(fèi)用?;ㄙM(fèi)包括由安全技術(shù)導(dǎo)致的額外消耗到和“云上”工具和產(chǎn)品相關(guān)的許可證,到新的類似云訪問安全代理的服務(wù)。花費(fèi)還可能包括認(rèn)證和加密服務(wù),以及為這些環(huán)境提供控制的其他云服務(wù)。安全團(tuán)隊(duì)不能忽略云使用的財(cái)務(wù)和預(yù)算方面,因?yàn)樾畔踩刂坪头?wù)現(xiàn)在已經(jīng)是部署和運(yùn)維的不可缺少的一部分。云度量可能包括隨時(shí)間產(chǎn)生的費(fèi)用和預(yù)算,不可預(yù)見的變更(可能是積極也可能是消極的)以及花費(fèi)在云上vs本地的整體安全預(yù)算的百分比。

模型還未成熟

另一個(gè)需要跟蹤的重要領(lǐng)域是云安全項(xiàng)目的整體成熟度。所有企業(yè)都想要知道和業(yè)界其他公司相比,他們的表現(xiàn)如何。并且該領(lǐng)域還缺少這一類別的比較基準(zhǔn),我們需要從哪里先開始。

大多數(shù)安全團(tuán)隊(duì)使用類似的控制框架,比如國(guó)家標(biāo)準(zhǔn)技術(shù)局 800-53(National Institute of Standards and Technology (NIST) 800-53),NIST網(wǎng)絡(luò)安全框架,以及云安全聯(lián)盟云控制度量,和傳統(tǒng)的成熟模型,比如通用成熟度模型相結(jié)合。從任何角度看這都不是什么完美的方案,但是至少企業(yè)能夠?qū)⒈镜乜刂频某墒於群驮粕系南鄬?duì)比,并且研究能夠改進(jìn)的領(lǐng)域。目前,一些控制方法在云上還不太成熟。需要時(shí)間等待云供應(yīng)商改進(jìn)他們的能力,并且等待云環(huán)境里的原生集成更加穩(wěn)定。

無論你選擇哪種云度量,都需要確保收集反饋,并且確認(rèn)這些是否真的對(duì)利益相關(guān)者有用。安全資深管理趨向報(bào)告超級(jí)復(fù)雜的信息安全度量,或者僅僅是未整理的數(shù)據(jù),這些對(duì)于業(yè)務(wù)高管來講并沒什么用處。這是我們?cè)谠粕贤七M(jìn)時(shí)可以有意識(shí)阻止的不好趨勢(shì)。

關(guān)注于真正重要的事情:改進(jìn)安全控制的狀態(tài),發(fā)現(xiàn)流程或者策略弱點(diǎn)并且修復(fù)它們,報(bào)告花銷并且滿足合規(guī)需求和成熟度目標(biāo)。關(guān)注于這些領(lǐng)域,那么一定能收獲很多。

本文來源:TechTarget中國(guó)  

?

閩公網(wǎng)安備 35010002000114號(hào)