CISO需要知道云安全性能的真實(shí)數(shù)據(jù)。因?yàn)镃級別的高管和董事會會一直問安全管理者風(fēng)險(xiǎn)暴露相關(guān)的問題 我們需要多高級別的安全?我們距離滿足合規(guī)要求還有多少距離? CISO們也在尋找能夠高效度量基于戰(zhàn)略目標(biāo)的云控制的方式,并且匯報(bào)這些發(fā)現(xiàn)。
如果沒有深入風(fēng)險(xiǎn)和花費(fèi),以及高官們實(shí)際關(guān)心的其他信息安全度量的儀表盤,那么怎么才能正確度量云上的安全運(yùn)維呢?
緩慢但堅(jiān)定地,IT部門正在調(diào)整安全控制(文檔化的流程)和架構(gòu)模型來適應(yīng)公有和私有云環(huán)境里的信息系統(tǒng)。隨著預(yù)防性的,檢測性的和響應(yīng)式的控制正在進(jìn)入混合云模型,CISO們現(xiàn)在必須思考云里的管控以及新的信息安全度量標(biāo)準(zhǔn),為了內(nèi)部跟蹤以及服務(wù)級別協(xié)議(SLA)。
有一些監(jiān)控活動(dòng),信息安全度量基本上都在內(nèi)部數(shù)據(jù)中心和云里。機(jī)會在于引入云環(huán)境的安全工具能夠大量抓取相同的數(shù)據(jù),并且提供目前收集的任何信息安全度量。比如,虛擬防火墻設(shè)備日志丟棄或者堵塞的連接;基于云的漏洞掃描能夠報(bào)告基礎(chǔ)架構(gòu)即服務(wù)或者平臺即服務(wù)系統(tǒng)的系統(tǒng)以及補(bǔ)丁和暴露的狀態(tài);基于主機(jī)的安全監(jiān)控工具記錄文件的訪問和配置的變化。
新的InfoSec云度量
但,CISO必須更多地關(guān)注于云里的性能指標(biāo)以及SLA相關(guān)的度量。這意味著安全團(tuán)隊(duì)需要研究能夠收集到的和云安全(云運(yùn)維)相關(guān)的新度量。如果自動(dòng)化的預(yù)配和Chef,Puppet這樣的編排工具一起工作,就能夠收集到實(shí)例生成和態(tài)勢評估的日志。事件則適用于管理活動(dòng),密碼工具和秘鑰使用及訪問,以及被批準(zhǔn)的配置的變形也能夠被監(jiān)控,從而確定云供應(yīng)商的安全態(tài)勢。重要的信息安全度量包括如下幾種:
管理登入云供應(yīng)商控制臺的次數(shù)
云環(huán)境里超過特定時(shí)間一直不活躍的 孤兒 賬號數(shù)量
啟動(dòng)系統(tǒng)數(shù)量vs運(yùn)行超過定義時(shí)間的系統(tǒng)數(shù)量(也就是說,在一段時(shí)間之后仍然在運(yùn)行的系統(tǒng))
使用批準(zhǔn)的配置的系統(tǒng)數(shù)量vs沒有使用批準(zhǔn)配置的系統(tǒng)數(shù)量
技術(shù)控制不足
安全資深管理還需要監(jiān)控云供應(yīng)商的合同義務(wù),法律和供應(yīng)鏈方面的都需要監(jiān)控。在每份供應(yīng)商的合同里,通常會定義一系列的SLA,從標(biāo)準(zhǔn)運(yùn)維能力(在線時(shí)間和性能)到安全相關(guān)的需求(事件響應(yīng)時(shí)間和法律或者鑒證請求)。一些云供應(yīng)商可能有義務(wù)滿足數(shù)據(jù)生命周期的需求,比如數(shù)據(jù)滯留,郵件消息的合法持有以及對設(shè)備和證據(jù)的產(chǎn)銷監(jiān)管鏈鑒證需求的響應(yīng)。
必須密切跟蹤這些合同義務(wù)并且向運(yùn)維和執(zhí)行管理層匯報(bào)。還必須仔細(xì)監(jiān)控并且匯報(bào)云供應(yīng)商審計(jì)的任何變化和鑒證報(bào)告。如果供應(yīng)商的SOC 2報(bào)告里的控制聲明的重大變更是相關(guān)的,那么就必須由安全和法務(wù)團(tuán)隊(duì)公告并且評估。
雖然云服務(wù)花費(fèi)更多地和運(yùn)維以及開發(fā)團(tuán)隊(duì)相關(guān),大多數(shù)成熟的部署現(xiàn)在也包括很多安全相關(guān)的費(fèi)用。花費(fèi)包括由安全技術(shù)導(dǎo)致的額外消耗到和 云上 工具和產(chǎn)品相關(guān)的許可證,到新的類似云訪問安全代理的服務(wù)?;ㄙM(fèi)還可能包括認(rèn)證和加密服務(wù),以及為這些環(huán)境提供控制的其他云服務(wù)。安全團(tuán)隊(duì)不能忽略云使用的財(cái)務(wù)和預(yù)算方面,因?yàn)樾畔踩刂坪头?wù)現(xiàn)在已經(jīng)是部署和運(yùn)維的不可缺少的一部分。云度量可能包括隨時(shí)間產(chǎn)生的費(fèi)用和預(yù)算,不可預(yù)見的變更(可能是積極也可能是消極的)以及花費(fèi)在云上vs本地的整體安全預(yù)算的百分比。
模型還未成熟
另一個(gè)需要跟蹤的重要領(lǐng)域是云安全項(xiàng)目的整體成熟度。所有企業(yè)都想要知道和業(yè)界其他公司相比,他們的表現(xiàn)如何。并且該領(lǐng)域還缺少這一類別的比較基準(zhǔn),我們需要從哪里先開始。
大多數(shù)安全團(tuán)隊(duì)使用類似的控制框架,比如國家標(biāo)準(zhǔn)技術(shù)局 800-53(National Institute of Standards and Technology (NIST) 800-53),NIST網(wǎng)絡(luò)安全框架,以及云安全聯(lián)盟云控制度量,和傳統(tǒng)的成熟模型,比如通用成熟度模型相結(jié)合。從任何角度看這都不是什么完美的方案,但是至少企業(yè)能夠?qū)⒈镜乜刂频某墒於群驮粕系南鄬Ρ龋⑶已芯磕軌蚋倪M(jìn)的領(lǐng)域。目前,一些控制方法在云上還不太成熟。需要時(shí)間等待云供應(yīng)商改進(jìn)他們的能力,并且等待云環(huán)境里的原生集成更加穩(wěn)定。
無論你選擇哪種云度量,都需要確保收集反饋,并且確認(rèn)這些是否真的對利益相關(guān)者有用。安全資深管理趨向報(bào)告超級復(fù)雜的信息安全度量,或者僅僅是未整理的數(shù)據(jù),這些對于業(yè)務(wù)高管來講并沒什么用處。這是我們在云上推進(jìn)時(shí)可以有意識阻止的不好趨勢。
關(guān)注于真正重要的事情:改進(jìn)安全控制的狀態(tài),發(fā)現(xiàn)流程或者策略弱點(diǎn)并且修復(fù)它們,報(bào)告花銷并且滿足合規(guī)需求和成熟度目標(biāo)。關(guān)注于這些領(lǐng)域,那么一定能收獲很多。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊,10G屏蔽模塊,屏蔽線生產(chǎn)廠家。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn,網(wǎng)址m.czchengbang.com
?2016-2019寧波科博通信技術(shù)有限公司版權(quán)所有浙ICP備16026074號