对许多人来说,云一直是并将继续是一项重要的支持技术, 无论是职业还是社交, 在COVID-19大流行期间. 我们已经建立了一个虚拟世界,现在我们要对它进行终极测试. 但是,让我们抛开云计算的“模式”,看看它背后是什么样子.
当然, 云计算 是否可以简化为使用诸如存储和处理能力等“按需”计算机服务的能力. 我们可以采用一种非常深入的方法来讨论不同的管理程序, 在后台运行的容器化和硬件, 但在大多数云计算用例中, 客户几乎没有访问这些组件的权限. 让我们从最可能的组件开始,作为客户,我们可以控制.
操作系统安全
有一些研究表明,接近90%的云是由Linux作为底层操作系统OS运行的实例组成的. 就培训或技能组合而言,这似乎是一个合乎逻辑的起点. 我们需要了解Linux的人(网络专业人员、管理员和IT审计人员). 我并不是建议这个领域的每个专业人员都需要能够为系统编译自定义内核或编写设备驱动程序, 但是了解操作系统的配置和加固对于保护Linux云实例是很有用的, 特别是内置和第三方操作系统防火墙功能.
如果使用Windows作为底层操作系统,则适用相同的规则. 了解PowerShell和基本的Windows加固技术非常重要, 并使用操作系统配置和使用的最佳实践.
防火墙/安全设备
大多数大型云提供商(亚马逊网络服务[AWS]), Azure和Google Cloud)将拥有提供类似防火墙功能的自定义仪表板. 了解如何在不同厂商之间控制防火墙的最佳方法是了解防火墙的一般工作原理. 供应商之间的术语和一些功能会发生变化, 但这些安全设备的整体工作知识是不变的. 这种类型的知识也会, 当然, 对于任何可能是云服务和内部部署功能之间的中介的系统都是有用的.
DevOps
如果您正在使用平台即服务(PaaS)云服务向客户提供专有软件服务, 那么安全开发是必须的. 静态和动态软件分析以及具有安全意识的程序员是这个过程的精髓. 当使用多种编程语言和框架时,这可能会非常具有挑战性, 比如Django或者Ruby on Rails, 程序员在哪里使用多个预构建的功能和库. 因此, 在将代码推向生产环境之前,必须优先考虑软件测试和代码审查.
业务及合约
我们并不总是能够在这个粒度级别上访问系统组件. 保护我们的云服务和组件的最后一道防线通常是与供应商签订的服务水平协议或其他协议. 谁负责云协议中的安全? 如果发生事件,谁负责事件响应? 如果我们不能运行漏洞扫描和进行审计, 供应商能否提供最新的合规报告和证明? 这些只是您在寻找满足您的安全性和遵从性需求的供应商的过程中需要考虑的一些问题.
在ISACA, 我们不断地询问我们的澳门赌场官方软件关于哪种培训最有价值的反馈, 而云是被请求最多的主题之一, 特别是云安全. 采用最简单的云定义,并将其与云安全培训的要求相结合, 人们可以假设,要求的是关于按需计算机资源安全的培训. It, 当然, 它也有自己的挑战, 但是在使用这些新兴技术的时候, 我们很容易迷失在已经完成的大量工作中,而忘记了一些基本技能和批判性思维技能是最适用的
这些想法在网络专业圈和培训中反复出现. 然而,黑客入侵仍在发生,网络技能差距每年都在扩大. 随着技术堆栈的复杂性急剧上升,也许最好的方法就是简化. 寻找具备这些简单技能的专业人士, 从地面开始提供纵深防御, 要明白,在这个行业,继续教育和学习是永远不会结束的.
编者按: 想要进一步了解这个话题,请阅读达斯汀·布鲁尔最近在《澳门赌场官方下载》上发表的文章, 《澳门赌场官方软件》 ISACA学报,第4卷,2020.
