執(zhí)行應(yīng)用程序安全性評(píng)估

隨著DevOps等敏捷開(kāi)發(fā)方法的快速普及，將安全性有效集成到企業(yè)的軟件開(kāi)發(fā)生命周期對(duì)于安全地利用云計(jì)算至關(guān)重要。企業(yè)對(duì)于云安全方面最大的誤解之一是相信云計(jì)算服務(wù)提供商將為其托管的應(yīng)用程序和數(shù)據(jù)庫(kù)集成提供安全措施。實(shí)際上，大多數(shù)云計(jì)算服務(wù)提供商（包括AWS、Microsoft和Google）都采取的是共擔(dān)責(zé)任模式，企業(yè)需要承擔(dān)以下安全責(zé)任：

消費(fèi)者數(shù)據(jù)；

應(yīng)用安全；

身份和訪問(wèn)管理；

網(wǎng)絡(luò)和防火墻配置；

客戶端配置；

服務(wù)器端加密；

數(shù)據(jù)完整性身份驗(yàn)證。

而云計(jì)算服務(wù)提供商需要負(fù)責(zé)冗余、存儲(chǔ)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)的安全。因此，將安全性和合規(guī)性集成到企業(yè)現(xiàn)有的持續(xù)集成和持續(xù)部署管道中變得至關(guān)重要。

為了提高云計(jì)算應(yīng)用程序的安全性，企業(yè)應(yīng)首先在安全開(kāi)發(fā)生命周期（SDLC）中盡早識(shí)別安全漏洞。實(shí)際上，這意味著企業(yè)應(yīng)該在開(kāi)發(fā)的最初階段融合安全架構(gòu)審查和安全代碼審查，以推動(dòng)代碼的安全實(shí)施。許多安全解決方案供應(yīng)商已經(jīng)采用這種方法，為開(kāi)發(fā)人員提供安全工具，其中包括培訓(xùn)、在集成開(kāi)發(fā)環(huán)境（IDE）和持續(xù)集成管道中集成安全實(shí)踐。人們目前看到的問(wèn)題包括安全解決方案供應(yīng)商的編程語(yǔ)言依賴性，盡管大型企業(yè)的開(kāi)發(fā)生態(tài)系統(tǒng)中存在過(guò)多的編程語(yǔ)言。這些工具無(wú)法在不同的編程語(yǔ)言中提供相應(yīng)的質(zhì)量。例如，大型企業(yè)可以利用Node．js和Java安全工具有效識(shí)別Node．js漏洞，同時(shí)忽略Java中的安全風(fēng)險(xiǎn)。面臨這些挑戰(zhàn)的企業(yè)需要優(yōu)先考慮其工具的定制，以實(shí)現(xiàn)跨編程語(yǔ)言的統(tǒng)一有效性。此外，企業(yè)可以利用基準(zhǔn)測(cè)試工具來(lái)了解各種安全解決方案供應(yīng)商的功效。

評(píng)估生產(chǎn)安全工具的功效對(duì)于保護(hù)云計(jì)算應(yīng)用程序也至關(guān)重要。建議首先啟動(dòng)一個(gè)針對(duì)壓力測(cè)試關(guān)鍵安全控制的紫色團(tuán)隊(duì)練習(xí)。這種方法允許企業(yè)識(shí)別是否存在可能危及其云實(shí)例的攻擊路徑。為了更好地認(rèn)識(shí)到企業(yè)可以從安全團(tuán)隊(duì)中獲益，企業(yè)需要了解生產(chǎn)安全評(píng)估選項(xiàng)的前景。紅色團(tuán)隊(duì)練習(xí)提供了對(duì)手對(duì)企業(yè)安全態(tài)勢(shì)的看法，藍(lán)色團(tuán)隊(duì)練習(xí)提供了維護(hù)者的觀點(diǎn)，紫色團(tuán)隊(duì)結(jié)合了對(duì)手和防守者的觀點(diǎn)，提供了對(duì)信息安全風(fēng)險(xiǎn)的全面評(píng)估。人們看到企業(yè)尋求建立或增強(qiáng)紫色團(tuán)隊(duì)能力的趨勢(shì)，有時(shí)在外部專家的幫助下實(shí)現(xiàn)。根據(jù)經(jīng)驗(yàn)，企業(yè)可以通過(guò)將人工技術(shù)與自動(dòng)化方法相結(jié)合，最有效地進(jìn)行生產(chǎn)中的紫色團(tuán)隊(duì)練習(xí)。這使企業(yè)可以減少因任何已識(shí)別的安全問(wèn)題而導(dǎo)致的停機(jī)時(shí)間。重要的是，企業(yè)不要在質(zhì)量保證環(huán)境中進(jìn)行紫色團(tuán)隊(duì)練習(xí)，因?yàn)檫@可能會(huì)降低其結(jié)果的有效性。

紫色團(tuán)隊(duì)評(píng)估可以幫助識(shí)別生產(chǎn)中的安全漏洞和業(yè)務(wù)差距，提供對(duì)分層防御（例如Web應(yīng)用程序防火墻（WAF）、安全網(wǎng)關(guān)、安全信息和事件管理（SIEM）、單點(diǎn)登錄和運(yùn)行）的功效的可見(jiàn)性時(shí)間應(yīng)用程序自我保護(hù)（RASP）。

保持強(qiáng)大的記錄和監(jiān)控能力

強(qiáng)大的日志記錄和監(jiān)控功能對(duì)于組織快速檢測(cè)和響應(yīng)影響其云部署的惡意活動(dòng)至關(guān)重要。傳統(tǒng)上，提供日志收集和分析的安全信息和事件管理（SIEM）系統(tǒng)在安裝和維護(hù)方面具有挑戰(zhàn)性，日志保留也非常密集。由于模塊化功能，更新的安全信息和事件管理（SIEM）系統(tǒng)更易于部署。隨著企業(yè)越來(lái)越多地將日志存儲(chǔ)在云中，也減少了內(nèi)部部署的存儲(chǔ)。

企業(yè)領(lǐng)導(dǎo)者應(yīng)該努力使用安全信息和事件管理（SIEM）來(lái)實(shí)現(xiàn)針對(duì)云計(jì)算應(yīng)用程序和基礎(chǔ)設(shè)施利用的攻擊模式的單一控制平臺(tái)視圖。這是通過(guò)來(lái)自各種發(fā)現(xiàn)源（WAF或RASP）的日志聚合來(lái)實(shí)現(xiàn)的。企業(yè)應(yīng)該驗(yàn)證信息和事件管理（SIEM）功能的有效性，以創(chuàng)建連續(xù)的反饋循環(huán)，從而使攻擊之間的共性成為分層防御和／或應(yīng)用程序代碼的規(guī)則集的變化。人們看到許多公司未能建立這種反饋循環(huán)，影響了他們保護(hù)云中信息的能力。

屢見(jiàn)不鮮的數(shù)據(jù)泄露事件強(qiáng)調(diào)了這樣一個(gè)事實(shí)，全球規(guī)模最大的企業(yè)也一直在與云安全作斗爭(zhēng)。企業(yè)的領(lǐng)導(dǎo)團(tuán)隊(duì)必須通過(guò)在其持續(xù)集成／持續(xù)部署（CI／CD）管道和生產(chǎn)環(huán)境中集成有效的安全控制和流程來(lái)應(yīng)對(duì)云安全風(fēng)險(xiǎn)。此外，安全團(tuán)隊(duì)需要在非生產(chǎn)環(huán)境和生產(chǎn)環(huán)境之間創(chuàng)建一個(gè)連續(xù)的反饋循環(huán)，以增強(qiáng)企業(yè)的整體安全態(tài)勢(shì)。