在訪談中，Mitigant的首席技術官Kennedy Torkura討論了確保云環(huán)境的清晰可見性的復雜性，為什么它會給CISO帶來如此大的挑戰(zhàn)，以及他們如何準備解決潛在問題。

你能談談可見性在管理云安全中的作用嗎?為什么它是當今CISO面臨的重大挑戰(zhàn)?

(資料圖)

由于云基礎設施的性質，對安全態(tài)勢的可見性對保持領先于云攻擊者至關重要。云基礎設施在很大程度上是由API驅動的，由主要分布在廣泛攻擊面的動態(tài)資源組成。這些因素和許多其他因素的結合對有效的云安全構成了巨大的挑戰(zhàn)。因此，確保云安全的一個核心要求是實現(xiàn)可靠的可見性。可以利用幾種機制來增強可見性，包括實施日志記錄和監(jiān)控機制、啟用跟蹤云資源和配置中的所有更改的更改管理策略，以及實施威脅檢測和事件響應策略。

DevOps的動態(tài)環(huán)境，特別是微服務和容器的引入，如何增加確保云環(huán)境的清晰可見性的復雜性?

盡管具有優(yōu)勢，但微服務和容器引入了幾個抽象層，這增加了云原生系統(tǒng)的復雜性。Kubernetes安全團隊使用“云本地安全的4C”的概念來解釋這一現(xiàn)象。微服務和容器在由多種技術組成的各種抽象層上運行，這些技術包括不同類型的通信協(xié)議。安全機制通常旨在解決特定技術中的安全問題。

因此，這限制了抽象層的安全機制的有效性。最終，在云本地基礎設施中，需要幾種安全機制才能實現(xiàn)可見性。然而，這些安全機制通常是孤立運行的，因此難以提供統(tǒng)一的可見性。要克服這些挑戰(zhàn)，需要在各種抽象層中跨不同的安全機制部署通信通道。此外，微服務和容器被設計為動態(tài)的，因此跟蹤和確保可見性是具有挑戰(zhàn)性的。

考慮到威脅參與者利用錯誤配置滲透到企業(yè)中的趨勢日益增長，CISO應該采取哪些戰(zhàn)略來降低其云環(huán)境中的這些風險?

威脅的流行率和復雜性正在迅速增加，這是許多企業(yè)非常擔心的問題。沒有一刀切的方法來克服這些挑戰(zhàn)，擁有足夠安全預算的成熟企業(yè)也未能幸免，因此解決方案不僅僅是擁有足夠的預算來獲得同類最佳的安全解決方案?；镜陌踩O置是降低相關風險的基礎。企業(yè)需要通過培養(yǎng)網(wǎng)絡安全文化來確保這一點。此外，鑒于不能保證實現(xiàn)100%的安全，“假定違約”的概念勢在必行。

企業(yè)需要實施持續(xù)驗證安全機制效率的安全機制?？梢岳脦追N安全解決方案來持續(xù)驗證安全效率，包括安全混亂工程、對手模擬和威脅追蹤。我想提到的最后一點是從網(wǎng)絡安全轉向網(wǎng)絡彈性。網(wǎng)絡安全旨在檢測和防止攻擊，網(wǎng)絡韌性推動阻止或適應攻擊，同時在面臨逆境時實現(xiàn)業(yè)務連續(xù)性。

使用多個公有云和私有云以及內部部署環(huán)境如何增加管理復雜性和運營成本?

使用多個公有云和私有云以及內部部署環(huán)境會帶來各種挑戰(zhàn)，從而增加企業(yè)的管理復雜性和運營成本。雖然多云和混合環(huán)境具有各種優(yōu)勢，如靈活性、可擴展性和彈性，但它們也伴隨著必須仔細管理的固有復雜性。使用多個公有云和私有云，包括內部部署環(huán)境，意味著使用不同API、技術等的不同基礎設施。

在這種多樣化的環(huán)境中保持一致的安全態(tài)勢是非常具有挑戰(zhàn)性的。每個云的安全機制各不相同，管理這些機制所需的技能也同樣不同。這種多樣化環(huán)境的影響橫跨人員、流程和技術，并可能造成攻擊者可以利用的盲點。同樣，在這種多樣化的基礎設施中暴露出來的攻擊面也對治理構成了挑戰(zhàn)。

你能描述一下企業(yè)在臨時添加云服務時可能面臨的問題嗎?如何改進這種做法?

云服務為企業(yè)提供了大量價值。然而，添加更多云服務的決定不僅需要從功能角度進行治理和考慮，還需要從安全角度進行考慮。應該堅持默認安全的概念，特別是在云服務往往具有重疊功能的情況下。因此，在沒有充分規(guī)劃的情況下添加更多服務可能會導致冗余、資源浪費和現(xiàn)有攻擊面的擴展。

可以通過采用幾種安全實踐來避免這些問題，包括安全架構和設計審查以及威脅建模練習，以證明需要這些服務是合理的。解決此問題的其他方法包括使用云服務提供商提供的服務來執(zhí)行企業(yè)范圍的策略。有了這樣的服務，可以應用嚴格的治理，以避免故意或錯誤地使用先前未計劃的云服務。

由于幾乎沒有IT團隊擁有管理包含多個公有云、私有云和內部部署環(huán)境的混合部署所需的專業(yè)知識，CISO如何做好應對潛在問題的準備?可以進行哪些培訓或技能提升?

如今，該行業(yè)面臨的一個巨大挑戰(zhàn)是缺乏足夠的技能。可以采取幾項措施來應對這一挑戰(zhàn)，包括為工作人員提供教育預算和培訓機會，以獲得與其工作職責有關的知識和技能。有幾個在線培訓計劃可以為企業(yè)提供云培訓計劃。企業(yè)可以通過訂閱此類計劃并鼓勵員工注冊和參加這些計劃來利用這些機會。

此外，還可以在企業(yè)內部組織云培訓，邀請外部或內部主題專家分享他們的知識。這可以是理論和實踐的混合，以提升員工的云計算技能。

關鍵詞：