云安全一开始并不容易。

云安全之旅中最困难的步骤之一是创建保护云环境的路线图。

这一步骤的重要性不容低估，因为如果做得不正确，可能会导致错误的投资、浪费时间和潜在的数据泄露。

过去几年，云和数字技术的采用飞速发展，如果没有适当的路线图，网络安全团队可能会在未来面临严重的问题。

当 CIO 和 CISO 坐下来制定保护其云工作负载的最佳方法时，他们将被大量的材料淹没，这可能非常令人沮丧！

根据我自己在众多云实施方面的经验，我决定记下成功实施云安全的关键成功因素。

我将路线图分为三个基本阶段，分别是

1. 基础

2. 执行

3. 优化

注：根据我的经验，我已尽力使其尽可能详细，但又不会详细到对大多数公司来说不切实际。

第一阶段：奠定基础

云安全项目失败的最常见原因之一是 CISO 简单地将其本地模型“复制粘贴”到云上。

不了解云，就会导致非常强大的原生能力被忽视；因此，在开始旅程之前打下适当的基础非常重要。

下面列出了一些关键的基本要素

A. 了解监管环境

在开始云安全之旅之前，至关重要的第一步是了解您所在特定地理位置的法规。

如果操作不当，您可能会移动无权移动的数据，并受到严厉的监管罚款。

某些国家不允许将数据移出其边界，并对违规行为处以重罚。

一个优点是，大多数法规也与安全最佳实践重叠，因此首先建立适当的框架确实会减少以后的工作量。

无论是 HIPAA、PCI DSS 还是 SOC 2，请务必与您的法律部门合作并充分了解您的特定行业的注意事项。

您必须知道哪些数据将进入云端，控制措施是什么，以及您必须回答监管机构提出的哪些问题。

对于厌倦了全年进行审计的网络安全团队来说，一个好消息是大多数云提供商为他们做了很多繁重的工作。

AWS、Azure和Google都有多个第三方计划，全年运行数百项本地和全球认证，可以免费申请这些认证

下面的 AWS 工件就是一个示例，它使您可以访问数百份 AWS 报告

注意：虽然这对于网络安全团队来说是个好消息，但这并不意味着您仅仅因为托管在 AWS、Azure 或 Google 上就自动遵守 PCI 或 ISO。这是共享责任模型的主题，详述如下：

B. 了解共同责任模型

在云上实施任何内容之前，共享责任模型是需要预先了解的最重要的事情之一。

一些公司在迁移到云时错误地认为，未来 AWS 或 Microsoft 将处理所有事情，并且所有安全义务都消失了。

这是一个巨大的错误，因为云中的安全性成为了共同的责任，客户和云提供商都必须共同努力来保护环境。

许多基础工作已经完成，但您仍然需要走最后一英里，对数据和应用程序实施控制，以确保您所在区域的所有内容也符合要求。

正如 AWS 所说，他们负责云的安全，而您则负责云中的安全

这可能会根据您使用的模型类型（完全托管、IaaS 或平台等）而改变，云提供商将根据您选择的模型有效地完成或多或少的工作。

C. 并行提升你的团队

如果您是首席信息安全官并开始云安全之旅，那么在团队中培养云技能是关键的基础步骤。

不要仅仅依赖外部顾问，因为他们通常会在项目完成后离开，而内部团队将承担日常运营的负担。

如果不知道如何保护基础设施即代码、容器和无服务器，您的网络安全团队稍后将处于严重劣势，并且无法处理技术团队的查询。这些技术有许多免费和付费培训/认证途径。

由于对他们的投资，该团队还将将此视为信任票

第 2 阶段：保护云安全

现在您已经对云和监管审批有了坚实的基础了解（希望如此！）；我们可以开始研究如何保护云环境。

正如我所提到的，不要尝试盲目复制您在本地使用的任何工具集，而应始终首先尝试使用本机云服务。

这一阶段可能是团队需要付出最大努力、压力最大的阶段。

此阶段要做的两件最重要的事情是基准测试和创建云安全模型

A. 基准

立即了解云中安全状况的最佳、最快方法是根据安全最佳实践进行基准测试。

好消息是，从第一天开始，Google、Azure 和 AWS 等提供商就已经为您提供了预配置的基准，您可以根据这些基准来衡量您的环境。

从第一天开始就启用 CIS 基准，在云中轻松、快速地获得安全性胜利，这将是让您的 CISO 满意的好方法。

以下是主要提供商使用的工具：

• AWS 安全中心

• Azure 安全中心（现为 Microsoft Defender）

• 谷歌合规中心

除此之外，如果您有相同的预算，还有第三方工具可以帮助您获得可见性

云安全工具系列 — CSPM 到底是什么？

了解云安全态势管理 (CSPM) 的概念

infosecwriteups.com

注意：不必担心第一天的高点/中点数量。这对于每个环境来说都是正常的，但请确保您在实施流程时进行风险跟踪，这样就不会遗漏任何内容

B. 建立您的云安全模型

启用基准测试后，现在是时候开始为您的环境实施高级安全框架了。以下是需要关注的关键领域：

• 身份控制：您的身份是云中的防火墙，因此请优先关注此处。不要只是启用 MFA 就结束了，还要为您的身份创建适当的安全生态系统。您能做的最好的事情就是将其与单点登录系统连接（如果您有单点登录系统），这样您就不必在云中管理一组单独的身份。

• 加密：这很大程度上取决于您所遵循的法规以及哪些数据（PCI、PII）将进入云。了解静态和传输中敏感数据的加密控制。AWS 和其他云提供商提供了一些令人惊叹的托管服务来处理加密密钥，从而消除了内部管理 HSM 的麻烦

• 日志记录和警报：在云中很容易过度记录和警报。创建太少的警报会导致关键数据丢失，而创建太多则会淹没您的响应团队，导致警报疲劳。好处是，如果您已经启用了基准测试，则只需将其中许多高项目转换为警报并添加您自己的即可。

• 工作负载保护：确保您的虚拟机、容器和集群在运行云工作负载时受到保护且安全。您的虚拟机应该通过安全映像启动。容器镜像必须在启动之前进行扫描，并且运行时保护将全面可用。将此作为云的最低要求

云安全工具系列：CWPP 到底是什么？

了解 CWPP 在云安全难题中的定位

infosecwriteups.com

• 威胁情报：云最棒的事情之一就是您可以访问多少威胁情报，这要归功于云提供商。Azure、谷歌和 AWS 正在投资数十亿美元来威胁英特尔技术，客户将从中受益。这些数据被输入到他们的云服务中，从而能够及早检测到攻击。尽早启用这些服务，以便他们从第一天开始学习，并可以生成主动采取行动的基准。

第 3 阶段：优化云

在这个阶段，您开始对自己的云控制充满信心，并且可以将注意力转移到更具战略性的工作上。此阶段需要关注的几个关键领域如下：

• 为正在生成的警报启用自动修复，以便您的安全团队可以开始专注于更高效的工作

• 微调现有的警报逻辑，因为您现在将意识到什么有效，什么无效。

• 清理早期阶段授予的云权限。现在你应该知道谁需要白色并可以相应地进行微调

• 通过 Slack 等协作工具扩展您的工具集可以大大提高安全流程的效率，并使您远离电子邮件文化

A. 风险审查

虽然您应该从第一天起就维护风险跟踪器，但现在是时候仔细审视您的风险数据库并决定保留哪些内容以及需要管理层接受哪些内容。务实一点，并意识到您永远不会得到那个可爱的 100% 完整的风险跟踪器。

可以修复的应该跟踪，可以修复的应该关闭。

这完成了主要步骤，并让您踏上成功的云安全之旅。

原文始发于微信公众号（KK安全说）：创建云安全策略的终极指南