安全團隊和云計算團隊之間更好協(xié)作的6個技巧

當云計算工程師擁有的管理員特權超出其工作所需的特權時,如果其憑據(jù)被盜,網(wǎng)絡攻擊者可以竊取從數(shù)據(jù)到虛擬機的所有信息。McGladrey認為,云計算工程師有責任只要求他們完成工作所需的特權,而不再需要其他特權。

隨著云計算技術的成熟,云計算工程師與安全團隊之間更好的協(xié)作應該自然地隨之增長。如果云計算團隊將安全性視為一種難以應對的阻礙,那么需要來自企業(yè)管理層和團隊成員的共同努力,它們需要通過建立訪問關系、數(shù)據(jù)共享和其他跨團隊的工作來完成。只需更多主動性和跨團隊溝通,就可以打破傳統(tǒng)的孤島,以確保發(fā)生數(shù)據(jù)泄露或其他網(wǎng)絡攻擊事件時,這兩個團隊之間就能夠更好地相互支持。

以下是有關如何改善云計算團隊與網(wǎng)絡安全團隊之間協(xié)作的一些技巧:

1.事先提出問題;盡早開誠布公地進行溝通

微軟公司首席技術官現(xiàn)代工作辦公室的安全架構師Wayne Anderson強調(diào),安全保護系統(tǒng)用戶的信任和隱私是企業(yè)中每個人的責任。他建議云計算團隊與網(wǎng)絡安全團隊都要提出一些有關如何使安全性更加輕松和減少干擾的問題。Anderson還建議這兩個團隊討論如何消除沖突,以便更快地進行身份和訪問管理。

例如在諸如團隊立場和共享在線渠道之類等方面進行提問。如有必要,兩個團隊應該提前解決如何更好地相互提問,以節(jié)省時間和精力。

2.定義兩個團隊的成功,以避免以后發(fā)生沖突

Anderson建議,這兩個團隊都需要盡早定義“成功”的含義。其答案需要考慮所在企業(yè)的安全標準。另外,答案還需要滿足企業(yè)利益相關者確定預算或批準項目進行的要求。

他說,“盡早建立共識。全面審查項目概念和與安全團隊有關的服務,并找出緊迫的問題。”盡早建立共識可以讓兩支團隊回顧并共同解決一些問題。

避免并解決沖突最終是一項業(yè)務決策。因此,Anderson建議這兩個團隊的首要也是最關鍵的事項之一:不要將安全決策作為自己的問題。這兩個團隊一起工作以加快處理事務的速度,首先需要關注業(yè)務需求以及如何實現(xiàn)目標。

3.嚴格管理云帳戶特權

信息系統(tǒng)安全認證專家和Ascent Solutions公司網(wǎng)絡安全策略師Kayne McGladrey表示,企業(yè)應該對帳戶特權進行嚴格管理,這為企業(yè)提供了對其云計算團隊用戶帳戶和特權的詳盡視圖。這兩個團隊都必須了解并接受預先控制訪問權限的需求,這一點很重要。

當云計算工程師擁有的管理員特權超出其工作所需的特權時,如果其憑據(jù)被盜,網(wǎng)絡攻擊者可以竊取從數(shù)據(jù)到虛擬機的所有信息。McGladrey認為,云計算工程師有責任只要求他們完成工作所需的特權,而不再需要其他特權。

因此,安全團隊應該只向云計算團隊授予必要的特權,以便他們可以實施工作。安全團隊需要有一個定義的工作流,用于在其組織的票證系統(tǒng)中內(nèi)置用于請求特權提升的功能。同樣,安全團隊需要與云計算團隊合作創(chuàng)建這個過程。

4.部署信息共享工具

VenToken Raju是ColorTokens公司首席解決方案架構師/技術布道者,他強調(diào)了使用支持兩個團隊之間信息共享的云原生和第三方工具的重要性。他建議,企業(yè)花費一些時間預先配置安全性和云計算管理視圖,以支持企業(yè)的業(yè)務和應用程序的運行。

信息共享工具可以采用云管理平臺(CMP)、安全信息和事件管理(SIEM)平臺或其他安全和后端管理工具,這些工具可以提供這兩個團隊在軟件開發(fā)生命周期中通過部署需要查看的投入運營的數(shù)據(jù)和分析結果。

此外,McGladrey建議,通過Microsoft Teams、Slack或其他在線協(xié)作平臺保持團隊之間開放的溝通渠道。企業(yè)可以通過設置跨團隊或項目通信共享渠道來做到這一點。他還建議每個團隊任命一個專職人員來共享和建立團隊之間的關系。

5.著眼于數(shù)據(jù)而不僅僅是技術,以找到共同點

McGladrey建議說:“兩個團隊都需要專注于數(shù)據(jù),而不是技術。作為技術專家,這聽起來可能很奇怪,但是人們很少談及技術帶來的漏洞。”

McGladrey說,有些企業(yè)并沒有因為技術問題而被罰款,只是因為數(shù)據(jù)泄露破壞了法定數(shù)據(jù)規(guī)定的個人身份信息(PII)或個人健康信息(PHI)而被罰款。McGladrey建議,云計算團隊對企業(yè)存儲數(shù)據(jù)的位置保持公開和透明,并記錄位置。如果安全團隊不知道數(shù)據(jù)的存儲位置,他們將無法收集任何遙測信息或部署復雜的安全控制措施。

6.保留安全性和云計算文檔的硬拷貝

Raju提倡記錄企業(yè)的主要安全決策和云計算決策,并在勒索軟件攻擊或其他網(wǎng)絡攻擊可能會使企業(yè)的團隊無法訪問在后端系統(tǒng)上的在線文檔的情況下,使兩個團隊都可以訪問這些文檔的硬拷貝版本。

即使沒有專職技術人員的權限,Atlassian Confluence和其他平臺也可以將內(nèi)容導出為Microsoft Word的格式,企業(yè)可以將其打印出來以硬拷貝的形式并放置在活頁夾中,以為緊急情況做好準備。其訣竅是堅持使用簡單的格式并創(chuàng)建維護計劃,甚至進行桌面練習,并提示這兩個團隊不要忘記更新其文檔的硬拷貝版本。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論