執(zhí)行應(yīng)用程序安全性評估

隨著DevOps等敏捷開發(fā)方法的快速普及，將安全性有效集成到企業(yè)的軟件開發(fā)生命周期對于安全地利用云計算至關(guān)重要。企業(yè)對于云安全方面最大的誤解之一是相信云計算服務(wù)提供商將為其托管的應(yīng)用程序和數(shù)據(jù)庫集成提供安全措施。實際上，大多數(shù)云計算服務(wù)提供商（包括AWS、Microsoft和Google）都采取的是共擔(dān)責(zé)任模式，企業(yè)需要承擔(dān)以下安全責(zé)任：

消費者數(shù)據(jù)；

應(yīng)用安全；

身份和訪問管理；

網(wǎng)絡(luò)和防火墻配置；

客戶端配置；

服務(wù)器端加密；

數(shù)據(jù)完整性身份驗證。

而云計算服務(wù)提供商需要負(fù)責(zé)冗余、存儲、數(shù)據(jù)庫、網(wǎng)絡(luò)的安全。因此，將安全性和合規(guī)性集成到企業(yè)現(xiàn)有的持續(xù)集成和持續(xù)部署管道中變得至關(guān)重要。

為了提高云計算應(yīng)用程序的安全性，企業(yè)應(yīng)首先在安全開發(fā)生命周期（SDLC）中盡早識別安全漏洞。實際上，這意味著企業(yè)應(yīng)該在開發(fā)的最初階段融合安全架構(gòu)審查和安全代碼審查，以推動代碼的安全實施。許多安全解決方案供應(yīng)商已經(jīng)采用這種方法，為開發(fā)人員提供安全工具，其中包括培訓(xùn)、在集成開發(fā)環(huán)境（IDE）和持續(xù)集成管道中集成安全實踐。人們目前看到的問題包括安全解決方案供應(yīng)商的編程語言依賴性，盡管大型企業(yè)的開發(fā)生態(tài)系統(tǒng)中存在過多的編程語言。這些工具無法在不同的編程語言中提供相應(yīng)的質(zhì)量。例如，大型企業(yè)可以利用Node．js和Java安全工具有效識別Node．js漏洞，同時忽略Java中的安全風(fēng)險。面臨這些挑戰(zhàn)的企業(yè)需要優(yōu)先考慮其工具的定制，以實現(xiàn)跨編程語言的統(tǒng)一有效性。此外，企業(yè)可以利用基準(zhǔn)測試工具來了解各種安全解決方案供應(yīng)商的功效。

評估生產(chǎn)安全工具的功效對于保護云計算應(yīng)用程序也至關(guān)重要。建議首先啟動一個針對壓力測試關(guān)鍵安全控制的紫色團隊練習(xí)。這種方法允許企業(yè)識別是否存在可能危及其云實例的攻擊路徑。為了更好地認(rèn)識到企業(yè)可以從安全團隊中獲益，企業(yè)需要了解生產(chǎn)安全評估選項的前景。紅色團隊練習(xí)提供了對手對企業(yè)安全態(tài)勢的看法，藍色團隊練習(xí)提供了維護者的觀點，紫色團隊結(jié)合了對手和防守者的觀點，提供了對信息安全風(fēng)險的全面評估。人們看到企業(yè)尋求建立或增強紫色團隊能力的趨勢，有時在外部專家的幫助下實現(xiàn)。根據(jù)經(jīng)驗，企業(yè)可以通過將人工技術(shù)與自動化方法相結(jié)合，最有效地進行生產(chǎn)中的紫色團隊練習(xí)。這使企業(yè)可以減少因任何已識別的安全問題而導(dǎo)致的停機時間。重要的是，企業(yè)不要在質(zhì)量保證環(huán)境中進行紫色團隊練習(xí)，因為這可能會降低其結(jié)果的有效性。

紫色團隊評估可以幫助識別生產(chǎn)中的安全漏洞和業(yè)務(wù)差距，提供對分層防御（例如Web應(yīng)用程序防火墻（WAF）、安全網(wǎng)關(guān)、安全信息和事件管理（SIEM）、單點登錄和運行）的功效的可見性時間應(yīng)用程序自我保護（RASP）。

保持強大的記錄和監(jiān)控能力

強大的日志記錄和監(jiān)控功能對于組織快速檢測和響應(yīng)影響其云部署的惡意活動至關(guān)重要。傳統(tǒng)上，提供日志收集和分析的安全信息和事件管理（SIEM）系統(tǒng)在安裝和維護方面具有挑戰(zhàn)性，日志保留也非常密集。由于模塊化功能，更新的安全信息和事件管理（SIEM）系統(tǒng)更易于部署。隨著企業(yè)越來越多地將日志存儲在云中，也減少了內(nèi)部部署的存儲。

企業(yè)領(lǐng)導(dǎo)者應(yīng)該努力使用安全信息和事件管理（SIEM）來實現(xiàn)針對云計算應(yīng)用程序和基礎(chǔ)設(shè)施利用的攻擊模式的單一控制平臺視圖。這是通過來自各種發(fā)現(xiàn)源（WAF或RASP）的日志聚合來實現(xiàn)的。企業(yè)應(yīng)該驗證信息和事件管理（SIEM）功能的有效性，以創(chuàng)建連續(xù)的反饋循環(huán)，從而使攻擊之間的共性成為分層防御和／或應(yīng)用程序代碼的規(guī)則集的變化。人們看到許多公司未能建立這種反饋循環(huán)，影響了他們保護云中信息的能力。

屢見不鮮的數(shù)據(jù)泄露事件強調(diào)了這樣一個事實，全球規(guī)模最大的企業(yè)也一直在與云安全作斗爭。企業(yè)的領(lǐng)導(dǎo)團隊必須通過在其持續(xù)集成／持續(xù)部署（CI／CD）管道和生產(chǎn)環(huán)境中集成有效的安全控制和流程來應(yīng)對云安全風(fēng)險。此外，安全團隊需要在非生產(chǎn)環(huán)境和生產(chǎn)環(huán)境之間創(chuàng)建一個連續(xù)的反饋循環(huán)，以增強企業(yè)的整體安全態(tài)勢。