云計算促使CISO轉變安全重點

過去十年，首席信息安全官（CISO）面臨的挑戰發生了巨大變化。如今，他們必須協調自己的安全工作和預算，使之配合所屬企業的業務目標，例如維持客戶的數據安全信心和保護知識產權免遭盜竊等等。

作為執行管理團隊的關鍵成員，CISO往往肩負向董事會報告的職責。他們必須管理云帶來的全新技術復雜度，處理好作為第一道也是最后一道防線的各種身份。而且，CISO的工作遠不止這些。想要成功履職盡責，他們還必須付出巨大努力，拉起一支具備各學科技能的團隊，選對合適的防御技術。

技術挑戰

企業紛紛轉向遠程或混合辦公模式，再加上云技術的加速普及，導致CISO必須保護的攻擊面極大擴張。此外，CISO需要面對的往往不止一個云。AWS、Azure和谷歌云平臺（GCP）等主流云提供商在結構、流程和要求等方面全都略有不同，進一步增加了管理這些龐大架構的復雜性。

面向數據中心的公司如果已經上云，那它們明顯會面臨一系列新的安全問題，而這些問題是傳統防火墻無法應對的。因此，如今我們常會聽到一句話：“身份是新的邊界”。這句話無疑現實又正確。盡管不應拋棄防火墻和其他基于網絡的控制措施，但CISO確實需要重視身份問題了。下面列出的三步走過程可以快速有效地應對身份問題。

● 限制過多權限。向云遷移的過程中，整個遷移團隊里的每個人往往都會被授予全局權限。最好避免發生這種事情，但如果真的發生了，那就應該在遷移完畢后審核并限制這些權限。監測有哪些人訪問了哪些資源是個不錯的方法。如果某人沒在訪問某項特定資源，那就應該撤銷其對這項資源的訪問權限。

● 關聯過多權限和錯誤配置。云端錯誤配置是又一重大風險。而如果特權身份能夠訪問錯誤配置的云資源，其結果可能是災難性的。幸而如今我們可以利用自動化工具幫助檢測錯誤配置以及過多權限，修復這些安全方面的漏洞，消除此類威脅。

● 優先級排序。從來就沒有足夠的人手和時間來糾正每一個錯誤配置，所以我們有必要重點關注最大的那些安全風險源。例如，修復基于身份的云存儲桶訪問威脅，就是防止數據泄露的重中之重。而監測配置錯誤，防止數據因過多權限、默認權限等問題而暴露，應是頭等大事。

人員挑戰

保護云基礎設施安全需要特殊的技能，而找到適格人員來做這項工作就是CISO的最大挑戰之一。每個云安全團隊都應該具備三個關鍵能力領域：

● 架構能力。安全團隊需要參考模型來評估企業的安全態勢和制定安全成熟路線圖。CSA框架就是數個可用模型中很不錯的一個資源。如果不清楚CSA等行業標準安全框架中的架構概念，就很難減小云攻擊面，也很容易忽略掉盲點。

● 云工程能力。安全團隊還需要處理日常云安全需求，包括管理、維護等等。足以勝任的云工程能力是持續保障安全的基礎。

● 反應能力。全球每天發生3萬起網絡攻擊。每家企業都可以預期日常發生安全事件，所以安全團隊需要能夠快速反應的專家來限制（即便不能預防）嚴重后果。

云安全團隊的理想構成應該囊括能夠協同工作的網絡、云和開發專家。打造具備這些能力的團隊是一項很復雜的工作，因為目前網絡安全專業人員缺口高達340萬。

可以通過培訓內部人員來有效填補招聘空缺。既可以內部培訓，也可以通過第三方認證計劃。此外，在選擇供應商時，企業應該偏重產品中囊括了強大培訓組件的那些。如果可以的話，CISO會想辦法讓非安全員工從事一些安全工作。

安全團隊往往會遇到如何處理多云架構的問題。沒多少人熟知三大主流云平臺各自的工具、術語和安全模型。因此，很多公司都訴諸于云原生技術，這些技術了解不同云平臺安全防護方面的細微差別，能夠為缺乏AWS、Azure、GCP等專業培訓的用戶簡化安全任務。

總之，CISO如今面臨云帶來的各種挑戰，需要保護極大擴展的攻擊面。同時，掌握各個云平臺所用的管理模型和工具需要本已極其短缺的安全專業技能。安全團隊可以利用能夠提供所需可見性和平臺知識的解決方案來實現最佳實踐，保護自己的云基礎設施，并在此過程中提高分析師的技能。