运作云安全解决方案的方法

方石剑
81 阅读11分钟

如何运营云安全解决方案

如何在4个简单的步骤中成功运营你的云安全解决方案--以及为什么快速有效的运营很重要。

云安全平台的顺利和渐进式运营确保了您实施的解决方案能够快速提供可衡量的价值。但是当涉及到操作化时,并不是所有的云安全解决方案都是一样的。在这篇博文中,我们讨论了这些障碍,并提供了成功运营的四个可操作步骤。

什么是云安全的运营化?

云安全运营化是将抽象的 "云安全 "概念转化为可实施的解决方案的过程,以推动可衡量的价值。在运营一个解决方案时,安全团队寻求确保它与组织流程紧密结合,并积极为组织的安全态势作出贡献。一个成功运作的云安全解决方案有助于降低风险,节省时间,支付其自身的费用(以及更多),并快速实现价值--所有这些都是可衡量的方式。

云安全运营的挑战

运作云安全解决方案有助于企业实现其战略目标,同时从投资中获得尽可能多的价值。然而,运营化的过程也伴随着挑战。这些挑战包括。

云基础设施是出了名的复杂

云基础设施是错综复杂的,它跨越了许多服务,往往是多个云供应商、账户、组织、技术栈、依赖性和不同的、重叠的云安全解决方案。所有这些活动部件都需要无缝管理,以确保性能,实现可扩展性,支持敏捷性,并提供安全性,即实现云的承诺。

这并不是一件容易完成的事情。实施和运行云计算在技术上很复杂。当涉及到安全问题时,挑战就更大了,因为安全团队往往在云计算的知识和资源方面都很紧张。因此,在尝试运行云安全解决方案时,需要克服这些技术困难,确保技术整合、入职和维护是解决方案采用的助推器,而不是阻碍因素(有时就是这样)。

用户体验不佳的安全解决方案

除了技术基础设施方面的挑战,安全团队还经常发现安全工具本身在操作方面的困难。当工具难以理解、违反直觉、警报重重、难以实施、难以收集和分享数据、缺乏定制和自助服务能力时,安全团队将很难运行和操作这些工具并使其符合他们的需求。安全解决方案需要高度的可用性和可操作性,以便有效和逐步扩大使用,即使是那些没有特定的云专业知识的人,也会很简单,而不是更复杂。

云安全团队需要提供背景信息并建立信任

安全团队面临的一个长期挑战是,虽然他们负责运营安全和提供结论,但DevOps或其他角色通常负责执行它们。虽然安全的重要性是显而易见的,但安全解决方案的投资回报率却不是。误报和缺乏背景可能会产生摩擦,并降低工程团队对安全建议的信任。例如,在云中,在没有充分证明的情况下,要求控制对资源的特权访问,很容易被认为是过度热心或阻碍了更快的开发周期。

具有讽刺意味的是,这种脱节--或者说对业务最有利的信念的二分法--会对企业的云安全结构造成更大的破坏,因为团队会更加固执地按照自己的方式做安全。因此,安全团队必须提供可靠的发现,通过提供可见的背景,最好是明确的政策补救行动,使其更加可信。当工程团队发现他们可以信赖这些发现和建议时,对他们的信心和信任--以及安全团队和/或云安全解决方案给他们带来的洞察力--将会建立起来。这样做可以最大限度地促进解决方案的操作过程,例如在基础设施即代码中整合最小权限。

此外,一些解决方案可以简化提升云安全成熟度的方式,最终目标是在企业的流程和利益相关者中实现安全最佳实践的自动化和整合。如果不接受云安全解决方案带来的价值,企业在实现全面的云安全成熟度的道路上将会遇到困难。

孤立的组织结构

在许多组织中,安全团队往往是集中式的,而DevOps团队的工作方式则更加孤立无援。这是因为安全在传统上是IT的一部分,它负责管理和保护企业内部的基础设施。然而,如前所述,在云中,安全团队需要DevOps来操作解决方案并实现统一的治理。

这种组织上的依赖性和这两个小组--安全和DevOps--固有的不同重点,使得安全团队很难说服DevOps相信这些工具的价值,并确保他们在坚持安全最佳实践的同时优先实施和管理这些工具。这也是因为DevOps应该有冲突的SLA,如确保产品的高性能,这被认为是整个组织的业务目标,而安全被认为是一个特定团队的地盘。相反,由于没有给予安全要求,如仔细管理权限和配置,DevOps可能会在不知不觉中引入或增加云风险,从而颠覆公司的目标。

如何用4个简单的步骤来操作你的云安全解决方案

让我们切入正题--你如何在你的组织中有效地操作云安全解决方案?基于广泛的客户经验,以下是我们推荐的四个步骤。

选择正确的云安全解决方案

就像选择合适的合作伙伴可以提高婚姻成功的几率一样,确保成功运营的第一步是找到一个容易运营的解决方案,同时满足你的安全需求。我们在过去已经写了很多关于选择供应商、向云安全供应商提问以及在POC期间提问的问题,所以我们不会再深入讨论整个过程。

除了我们以前写过的和关于操作化的内容,我们建议选择一个反映对风险的简易和详细可见性的投资,并提供灵活的补救选项的解决方案。这两种能力在最大程度上减少了技术和组织的开销,并使人们更容易从解决方案的发现和沟通中提取价值(下文有更多介绍)。

第2步 - 教育你的用户

下一步是向用户介绍新的云安全解决方案,并展示使用该解决方案如何简化和有利地影响他们的工作,同时可衡量地改善组织的云安全态势。重点是该解决方案如何将公司正在处理的复杂的安全问题,变得易于管理、优先处理和解决。重要的是要展示该工具对风险的自动分析,甚至政策建议是如何完成繁重的工作。

教育通常包括:

  • 解释云安全风险。 不要以为他们已经知道了。花点时间解释确保云安全的不同之处,以及为什么这样做是复杂的,这将有助于团队--包括那些重点不是安全的团队--理解问题的严重性。
  • 实践研讨会。 提供实际培训,说明如何以不同方式使用该工具来处理和解决风险。培训应包括引导用户完成入职过程(应该是简单的,而不是令人生畏的),以及如何在日常工作中使用该解决方案,包括利用定制和自助服务功能。
  • 投资回报率。 讲述价值!举例说明节省的时间,以及该工具如何简化安全方面的合作。风险可见性、背景和补救在提供--和说明--投资回报率方面起着关键作用。了解访问的可视化和风险的优先级如何能节省数小时的手工工作,是提高使用该工具兴趣的自然动力。

教育应采用日常语言,没有太多的流行语或技术术语。你可以要求你的供应商协助教育阶段的工作,以帮助弥合安全和工程之间的差距,并提供任何需要的额外云安全专业知识。

重要提示:在解决方案评估阶段,让非安全利益相关者--工程、DevSecOps、IAM、数据科学家、合规性和风险等--参与进来,是获得云安全运营支持的最佳方式。一旦购买,将他们纳入教育过程并给予他们平台访问权。这样做将增加他们对该工具及其价值的信心,并帮助他们成为愿意给予安全更多关注的合作伙伴。

确保与你的云安全解决方案的顺利技术整合

运营化是指让解决方案在你的安全团队和相关运营工作流程中发挥作用。要做到这一点,技术整合需要顺利进行。我们建议采取以下步骤:

  • 建立与你的云安全流程相关人员的日常工具的技术集成。例如,对于基础设施工程师,确保该解决方案与你的票据系统(如Jira和ServiceNow)集成。
  • 指定所有者和用户,以确保每个人都知道并能掌握自己的角色和责任,包括使用自助服务功能。
  • 逐步部署。开始时,让一些重点的用户和用例入驻。例如,使用该工具首先快速可视化你的资产库存以及身份和资源之间的关系。让该工具确定需要注意的最关键的风险问题。首先专注于 "易胜",然后继续前进,覆盖更多的领域。
  • 包括自动化和工作流程,使实施更容易,同时提高投资回报率。使用产品的定制能力和API,使其符合你的组织标准和需求。
  • 根据预先定义的标准,每天、每周或每月进行监测。与团队成员和其他利益相关者一起创建一个Slack频道,以实现你的监测节奏。

第4步:协作、审查和宣传

成功运营的很大一部分来自于能够向更好的安全迈进。将你的云安全解决方案作为一个跳板,在各团队间协作解决安全问题,进行云安全教育,并审查和改进流程。

也要利用它来赢得决策者的心,如管理层领导和董事会。如前所述,每个人都希望避免 勒索软件攻击 或云安全威胁 ,如今年的云数据泄露头条新闻,这一点是一致 的。把安全变成一个主导原则--而不是事后考虑--帮助保护和发展业务,而不是扼杀它。你的宣传重点应该是展示高质量的信息,显示解决方案的关键绩效指标,例如它是如何提高治理能力,改善安全指标,并提高合规性。利用报告、基准、G2审查和其他易于消费的信息和数据来传达所选择的云安全解决方案是如何帮助企业实现其目标的。

运作云安全解决方案可能是令人生畏的,特别是对于那些曾有过难以管理并产生许多误报的解决方案的安全团队。安全团队可以通过以下方式克服这个问题:

  • 选择一个对安全和云工程来说都易于部署和使用的解决方案,并且有可靠的发现记录。
  • 逐步进行技术整合,越来越多地使用自动化和定制化手段
  • 对用户进行教育,同时关注其工作的简单性和价值
  • 传播有效的云安全是如何与商业价值和增长联系在一起的

成功的运营将对解决方案的使用方式、获得的投资回报率以及公司云环境的安全程度产生巨大影响。有目的的计划和执行操作化,你将推动安全的发展。运作云安全解决方案与采取渐进式步骤充分使用该解决方案是相辅相成的。有关绘制和从战略上推进企业的云基础设施安全成熟度的信息,请参见关于使用云安全成熟度模型框架的网络研讨会。

avatar
文章
阅读
粉丝