云计算促使CISO转变安全重点

过去十年，首席信息安全官（CISO）面临的挑战发生了巨大变化。如今，他们必须协调自己的安全工作和预算，使之配合所属企业的业务目标，例如维持客户的数据安全信心和保护知识产权免遭盗窃等等。

作为执行管理团队的关键成员，CISO往往肩负向董事会报告的职责。他们必须管理云带来的全新技术复杂度，处理好作为第一道也是最后一道防线的各种身份。而且，CISO的工作远不止这些。想要成功履职尽责，他们还必须付出巨大努力，拉起一支具备各学科技能的团队，选对合适的防御技术。

技术挑战

企业纷纷转向远程或混合办公模式，再加上云技术的加速普及，导致CISO必须保护的攻击面极大扩张。此外，CISO需要面对的往往不止一个云。AWS、Azure和谷歌云平台（GCP）等主流云提供商在结构、流程和要求等方面全都略有不同，进一步增加了管理这些庞大架构的复杂性。

面向数据中心的公司如果已经上云，那它们明显会面临一系列新的安全问题，而这些问题是传统防火墙无法应对的。因此，如今我们常会听到一句话：“身份是新的边界”。这句话无疑现实又正确。尽管不应抛弃防火墙和其他基于网络的控制措施，但CISO确实需要重视身份问题了。下面列出的三步走过程可以快速有效地应对身份问题。

● 限制过多权限。向云迁移的过程中，整个迁移团队里的每个人往往都会被授予全局权限。最好避免发生这种事情，但如果真的发生了，那就应该在迁移完毕后审核并限制这些权限。监测有哪些人访问了哪些资源是个不错的方法。如果某人没在访问某项特定资源，那就应该撤销其对这项资源的访问权限。

● 关联过多权限和错误配置。云端错误配置是又一重大风险。而如果特权身份能够访问错误配置的云资源，其结果可能是灾难性的。幸而如今我们可以利用自动化工具帮助检测错误配置以及过多权限，修复这些安全方面的漏洞，消除此类威胁。

● 优先级排序。从来就没有足够的人手和时间来纠正每一个错误配置，所以我们有必要重点关注最大的那些安全风险源。例如，修复基于身份的云存储桶访问威胁，就是防止数据泄露的重中之重。而监测配置错误，防止数据因过多权限、默认权限等问题而暴露，应是头等大事。

人员挑战

保护云基础设施安全需要特殊的技能，而找到适格人员来做这项工作就是CISO的最大挑战之一。每个云安全团队都应该具备三个关键能力领域：

● 架构能力。安全团队需要参考模型来评估企业的安全态势和制定安全成熟路线图。CSA框架就是数个可用模型中很不错的一个资源。如果不清楚CSA等行业标准安全框架中的架构概念，就很难减小云攻击面，也很容易忽略掉盲点。

● 云工程能力。安全团队还需要处理日常云安全需求，包括管理、维护等等。足以胜任的云工程能力是持续保障安全的基础。

● 反应能力。全球每天发生3万起网络攻击。每家企业都可以预期日常发生安全事件，所以安全团队需要能够快速反应的专家来限制（即便不能预防）严重后果。

云安全团队的理想构成应该囊括能够协同工作的网络、云和开发专家。打造具备这些能力的团队是一项很复杂的工作，因为目前网络安全专业人员缺口高达340万。

可以通过培训内部人员来有效填补招聘空缺。既可以内部培训，也可以通过第三方认证计划。此外，在选择供应商时，企业应该偏重产品中囊括了强大培训组件的那些。如果可以的话，CISO会想办法让非安全员工从事一些安全工作。

安全团队往往会遇到如何处理多云架构的问题。没多少人熟知三大主流云平台各自的工具、术语和安全模型。因此，很多公司都诉诸于云原生技术，这些技术了解不同云平台安全防护方面的细微差别，能够为缺乏AWS、Azure、GCP等专业培训的用户简化安全任务。

总之，CISO如今面临云带来的各种挑战，需要保护极大扩展的攻击面。同时，掌握各个云平台所用的管理模型和工具需要本已极其短缺的安全专业技能。安全团队可以利用能够提供所需可见性和平台知识的解决方案来实现最佳实践，保护自己的云基础设施，并在此过程中提高分析师的技能。