CISO需要(yao)知道云(yun)安(an)(an)全性能的(de)(de)(de)真實數據。因(yin)為(wei)C級別的(de)(de)(de)高管和(he)董事會會一直(zhi)問(wen)安(an)(an)全管理者(zhe)風(feng)險暴露相關的(de)(de)(de)問(wen)題 我們需要(yao)多高級別的(de)(de)(de)安(an)(an)全?我們距離滿足合規要(yao)求還有多少距離? CISO們也在尋找(zhao)能夠高效度量基于戰略(lve)目標的(de)(de)(de)云(yun)控制的(de)(de)(de)方式，并且匯報這(zhe)些發(fa)現(xian)。

如果沒有深入風險和花費(fei)，以及高官們實(shi)際關心(xin)的(de)其(qi)他信息安(an)全度(du)量的(de)儀表(biao)盤(pan)，那么怎么才能(neng)正確度(du)量云上的(de)安(an)全運維呢?

緩(huan)慢(man)但堅定(ding)地，IT部門正在(zai)調整安(an)全(quan)控制(文檔化的流程)和架(jia)構(gou)模型來適應(ying)公有和私有云環(huan)境(jing)里的信(xin)息(xi)系統。隨著預(yu)防(fang)性的，檢測性的和響(xiang)應(ying)式的控制正在(zai)進入混(hun)合云模型，CISO們(men)現在(zai)必(bi)須思(si)考云里的管控以及新的信(xin)息(xi)安(an)全(quan)度量(liang)標準，為了內部跟蹤以及服務(wu)級(ji)別(bie)協議(SLA)。

有(you)一些監(jian)控活動，信(xin)息安全(quan)度(du)量(liang)基(ji)本上都(dou)在(zai)內部數據中心和(he)云(yun)里。機會在(zai)于(yu)(yu)引(yin)入(ru)云(yun)環境(jing)的(de)(de)(de)(de)(de)安全(quan)工具能夠(gou)大量(liang)抓取相(xiang)同的(de)(de)(de)(de)(de)數據，并且(qie)提供目前(qian)收(shou)集的(de)(de)(de)(de)(de)任何信(xin)息安全(quan)度(du)量(liang)。比如，虛擬防火墻設備日志丟棄或者(zhe)堵塞的(de)(de)(de)(de)(de)連接;基(ji)于(yu)(yu)云(yun)的(de)(de)(de)(de)(de)漏洞掃描能夠(gou)報告基(ji)礎架構(gou)即服(fu)務或者(zhe)平臺即服(fu)務系統的(de)(de)(de)(de)(de)系統以(yi)及補丁和(he)暴露的(de)(de)(de)(de)(de)狀態(tai);基(ji)于(yu)(yu)主機的(de)(de)(de)(de)(de)安全(quan)監(jian)控工具記錄文件的(de)(de)(de)(de)(de)訪(fang)問和(he)配置的(de)(de)(de)(de)(de)變化。

新的InfoSec云度量(liang)

但，CISO必須更多(duo)地關注于云(yun)(yun)里的(de)(de)性能指標以及SLA相(xiang)關的(de)(de)度(du)量(liang)。這(zhe)(zhe)意味著安(an)(an)全(quan)(quan)團隊需要(yao)研究能夠(gou)收集到(dao)的(de)(de)和云(yun)(yun)安(an)(an)全(quan)(quan)(云(yun)(yun)運(yun)維)相(xiang)關的(de)(de)新度(du)量(liang)。如果自動(dong)化的(de)(de)預(yu)配和Chef，Puppet這(zhe)(zhe)樣的(de)(de)編排工具一起工作，就能夠(gou)收集到(dao)實(shi)例生(sheng)成和態(tai)勢評(ping)估的(de)(de)日志(zhi)。事件則適用于管理(li)活動(dong)，密碼工具和秘(mi)鑰使用及訪問，以及被(bei)批準的(de)(de)配置的(de)(de)變形也能夠(gou)被(bei)監控，從而確定云(yun)(yun)供(gong)應商(shang)的(de)(de)安(an)(an)全(quan)(quan)態(tai)勢。重(zhong)要(yao)的(de)(de)信息安(an)(an)全(quan)(quan)度(du)量(liang)包括(kuo)如下(xia)幾種：

管理登入(ru)云供(gong)應商(shang)控(kong)制臺的次數

云(yun)環境里超過特定時間一直不活躍的 孤兒 賬(zhang)號(hao)數量

啟動(dong)系(xi)統(tong)(tong)數量vs運(yun)行超過定義時(shi)間的系(xi)統(tong)(tong)數量(也就是說，在(zai)一段時(shi)間之(zhi)后仍然在(zai)運(yun)行的系(xi)統(tong)(tong))

使(shi)用(yong)批(pi)準的(de)配置(zhi)(zhi)的(de)系(xi)(xi)統數量(liang)vs沒有使(shi)用(yong)批(pi)準配置(zhi)(zhi)的(de)系(xi)(xi)統數量(liang)

技術控制不足

安全(quan)(quan)資深管(guan)理還需(xu)要監控(kong)云(yun)供應(ying)商(shang)的(de)(de)合同義(yi)務，法律和供應(ying)鏈方面的(de)(de)都需(xu)要監控(kong)。在每份供應(ying)商(shang)的(de)(de)合同里，通常會定義(yi)一(yi)(yi)系列的(de)(de)SLA，從(cong)標(biao)準運維能力(在線(xian)時間和性能)到安全(quan)(quan)相關的(de)(de)需(xu)求(qiu)(事件響(xiang)應(ying)時間和法律或者(zhe)鑒證請求(qiu))。一(yi)(yi)些云(yun)供應(ying)商(shang)可能有義(yi)務滿足數(shu)(shu)據(ju)生命周(zhou)期的(de)(de)需(xu)求(qiu)，比(bi)如數(shu)(shu)據(ju)滯留，郵件消息的(de)(de)合法持有以(yi)及對設(she)備和證據(ju)的(de)(de)產銷監管(guan)鏈鑒證需(xu)求(qiu)的(de)(de)響(xiang)應(ying)。

必(bi)須(xu)(xu)密切(qie)跟蹤這(zhe)些合同義務并(bing)且向(xiang)運維和執(zhi)行管理層匯報。還必(bi)須(xu)(xu)仔細監控并(bing)且匯報云供應商審計的任何變化和鑒(jian)證報告(gao)。如果供應商的SOC 2報告(gao)里的控制聲明的重大變更是相關的，那(nei)么就必(bi)須(xu)(xu)由安全和法務團隊公告(gao)并(bing)且評估。

雖然云(yun)(yun)服務(wu)花(hua)費(fei)(fei)(fei)更多地(di)和(he)運(yun)維以(yi)及(ji)開發團(tuan)隊相關(guan)(guan)，大多數成熟的(de)(de)部署(shu)現(xian)在也包括(kuo)(kuo)很多安全(quan)相關(guan)(guan)的(de)(de)費(fei)(fei)(fei)用。花(hua)費(fei)(fei)(fei)包括(kuo)(kuo)由安全(quan)技術導致的(de)(de)額外消(xiao)耗到和(he) 云(yun)(yun)上 工(gong)具和(he)產品(pin)相關(guan)(guan)的(de)(de)許可(ke)(ke)(ke)(ke)證，到新(xin)的(de)(de)類似云(yun)(yun)訪問安全(quan)代理的(de)(de)服務(wu)。花(hua)費(fei)(fei)(fei)還可(ke)(ke)(ke)(ke)能(neng)包括(kuo)(kuo)認證和(he)加密(mi)服務(wu)，以(yi)及(ji)為(wei)這些(xie)環境提供(gong)控制的(de)(de)其(qi)他云(yun)(yun)服務(wu)。安全(quan)團(tuan)隊不(bu)能(neng)忽略云(yun)(yun)使(shi)用的(de)(de)財務(wu)和(he)預算(suan)方面，因(yin)為(wei)信息安全(quan)控制和(he)服務(wu)現(xian)在已經是部署(shu)和(he)運(yun)維的(de)(de)不(bu)可(ke)(ke)(ke)(ke)缺(que)少的(de)(de)一部分。云(yun)(yun)度量可(ke)(ke)(ke)(ke)能(neng)包括(kuo)(kuo)隨時(shi)間產生的(de)(de)費(fei)(fei)(fei)用和(he)預算(suan)，不(bu)可(ke)(ke)(ke)(ke)預見(jian)的(de)(de)變更(可(ke)(ke)(ke)(ke)能(neng)是積極也可(ke)(ke)(ke)(ke)能(neng)是消(xiao)極的(de)(de))以(yi)及(ji)花(hua)費(fei)(fei)(fei)在云(yun)(yun)上vs本(ben)地(di)的(de)(de)整體安全(quan)預算(suan)的(de)(de)百分比(bi)。

模型還未成熟

另一個需要(yao)跟蹤的(de)重(zhong)要(yao)領(ling)域是云安全項目的(de)整體成熟(shu)度。所有企業(ye)都想要(yao)知道和業(ye)界其他(ta)公(gong)司相(xiang)比(bi)，他(ta)們(men)(men)的(de)表現如何。并且該領(ling)域還缺少這一類別的(de)比(bi)較基準(zhun)，我(wo)們(men)(men)需要(yao)從哪里先開始。

大(da)多數安全團隊使用類似的(de)控制(zhi)(zhi)框(kuang)架，比(bi)如國家標(biao)準技術局 800-53(National Institute of Standards and Technology (NIST) 800-53)，NIST網絡(luo)安全框(kuang)架，以及(ji)云安全聯盟云控制(zhi)(zhi)度(du)(du)量(liang)，和傳統的(de)成熟模型，比(bi)如通用成熟度(du)(du)模型相結合。從任何(he)角度(du)(du)看這都不是什么完(wan)美的(de)方案，但是至少企業能夠(gou)將(jiang)本地控制(zhi)(zhi)的(de)成熟度(du)(du)和云上(shang)的(de)相對比(bi)，并且研究能夠(gou)改進的(de)領域。目(mu)前，一(yi)些控制(zhi)(zhi)方法在云上(shang)還不太成熟。需要時間等(deng)待(dai)(dai)云供應(ying)商改進他們的(de)能力，并且等(deng)待(dai)(dai)云環境里的(de)原(yuan)生(sheng)集成更(geng)加(jia)穩定。

無論你選擇哪種(zhong)云(yun)度(du)(du)量(liang)，都需(xu)要確保收集反饋，并(bing)且確認這(zhe)些(xie)是否真的對(dui)利益相關者有(you)用(yong)。安全(quan)資深管理趨向報(bao)告超級復雜(za)的信息安全(quan)度(du)(du)量(liang)，或者僅(jin)僅(jin)是未(wei)整理的數據，這(zhe)些(xie)對(dui)于(yu)業(ye)務高(gao)管來講并(bing)沒什么用(yong)處。這(zhe)是我們在(zai)云(yun)上推(tui)進時可以有(you)意識阻(zu)止的不好趨勢(shi)。

關注(zhu)于真正重(zhong)要(yao)的事情：改進安全控制的狀態(tai)，發現流程或者策略弱點并且(qie)修復它們，報(bao)告花銷并且(qie)滿足合規需求和成熟度目(mu)標(biao)。關注(zhu)于這些領域(yu)，那(nei)么一定能收(shou)獲很多。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

歡(huan)迎(ying)來電咨(zi)詢(xun)0574 88168918,郵箱(xiang)sales@aliance.cn，網址aliance.cn