（文章來源：企業網）

如今，很多企業致力于提高云計算安全指標的可見性，這是由于云計算的安全性與本地部署的安全性根本不同，并且隨著企業將應用程序、服務和數據移動到新環境，需要不同的實踐。

安全廠商Threat Stack公司產品管理副總裁Chris Ford表示，人們不能再將安全視為一種可以“圍繞一切的圍欄”。他說，“在基礎設施這個高度變化的新世界中，人們需要了解基礎設施的所有不同區域，在這些區域中檢測風險，并開始采取安全措施。這一切都取決于人們觀察行為的能力?！?/p>

CloudKnox公司首席執行官Balaji Parimi表示，當涉及到當今的云安全實踐時，很多企業處于“被動模式”。他們主要是通過使用能夠提供異?；顒涌梢娦缘墓ぞ邅肀Ｗo云環境，然后對異?；顒幼龀鲰憫?。Parimi說，“雖然這些‘反應式’工具有一些優點，但企業必須優先考慮先發制人的措施，以防止災難性的情況發生?！彼ㄗh，企業評估有助于防止或至少最小化與配置不當的身份相關的風險的工具。

監視過度配置或錯誤配置的身份是企業改進云安全監控的方法之一。在這里，專家們分享了他們在云計算中如何實施云安全監控的最佳實踐。企業應與供應商進行溝通，以澄清安全責任的誤解。Ford說， “很多企業希望與云計算提供商溝通，并準確理解共享責任模式所涵蓋的內容。”他指出，很多企業可能對基礎設施的某些領域視而不見。

除了詢問涵蓋哪些安全領域之外，他還建議詢問哪些工具可以提供有助于識別更復雜的攻擊行為的洞察力。Parimi提供了一個用戶詢問云計算服務提供商的問題列表：“你們負責哪些安全性，以及我們負責的是什么？你們的產品和服務符合哪些安全和隱私標準？你們是否保留了已簽名的審計跟蹤，其中包含哪些身份通過其UI和API執行哪些操作以及何時執行？你們對日志提供什么訪問權限？”

“亞馬遜公司如今是最強大的云計算供應商。”Mogull說。 CloudTrail涵蓋幾乎所有API調用，Config隨時間處理配置狀態監控，CloudWatch涵蓋基本核心日志記錄，GuardDuty查看用戶永遠無法訪問的有關Amazon資產的數據。Microsoft Azure提供了各種日志服務，但它的大部分日志記錄都是由Azure安全中心提供的，Mogull稱其比CloudTrail更難從中獲取數據。

Mogull在網絡研討會上表示，云計算帶來的變化率與傳統數據中心的變化率大不相同，其發展速度對監控安全威脅提出了挑戰。例如，許多傳統工具沒有跟上發展步伐，因為它們不支持API，或者它們無法隨時管理數據。他指出，云計算技術的波動性意味著靜態庫存工具的用處不大。

一些企業認為他們可以采用現有的安全堆棧并將其移至云端，但他不建議這樣做。例如，這樣做會提示如何處理無服務器架構或處理未管理容器服務器平臺上的容器的問題。Threat Stack公司的Ford表示，超過一半的用戶似乎愿意用安全換取速度和靈活性。企業將面臨最大限度降低風險而不妨礙快速行動的挑戰。他說，“我認為這是我們必須直接面對的挑戰之一?！?/p>

在安全監控方面，大多數企業完全依賴于他們從云計算提供商那里獲得的信息，Ford稱這種方法可能會在可見性方面留下空白，特別是在工作負載方面。他解釋說：“用戶應該有能力觀察云計算基礎設施每一層的行為?！边@其中包括主機可見性、容器可見性、對控制平臺的可見性以及對應用程序層的可見性，以查看跨站點腳本、SQL注入和其他威脅。

Mogull建議將云監控視為是一種望遠鏡，而不是顯微鏡。他說，“用戶不要認為可以捕獲環境中每個部分的數據。龐大的數據量可能變得無法管理。”Threat Stack公司Ford說，“重要的是要了解得不到什么?！彼嬲f，不要讓可見度帶來一種虛假的安全感。這可能讓組織很難知道對于給定的數據集采取哪些操作，而且在處理云安全數據時，場景是必不可少的。對于從多個供應商或提供容器的供應商處獲得服務的組織來說將會增加復雜性。

Ford表示，僅僅依靠來自安全工具的警報是不夠的。他說，“用戶需要提供警報的深層次場景，這樣才能理解產生警報時發生的事情?！盕ord解釋說，例如，某個組織收到亞馬遜網絡服務公司的GuardDuty關于有問題連接的警報。除非可以確定哪個用戶啟動了創建連接的進程，否則很難有足夠的場景來使這些警報進行操作。他建議通過安全編排平臺或SIEM與其他工具的組合，盡可能多地訪問遙測數據，以收集所需的數據量。

如果組織正在研究網絡流，那么用戶和應用程序行為的知識可以幫助其確定什么是正常與異常行為。另一個例子是，Ford指出可以查看權限提升的配置。如果組織注意到權限升級與未經授權的文件修改相結合，那么對其配置的查看更加緊迫。
? ? ?（責任編輯：fqj）