执行应用程序安全性评估

随着DevOps等敏捷开发方法的快速普及，将安全性有效集成到企业的软件开发生命周期对于安全地利用云计算至关重要。企业对于云安全方面最大的误解之一是相信云计算服务提供商将为其托管的应用程序和数据库集成提供安全措施。实际上，大多数云计算服务提供商（包括AWS、Microsoft和Google）都采取的是共担责任模式，企业需要承担以下安全责任：

消费者数据；

应用安全；

身份和访问管理；

网络和防火墙配置；

客户端配置；

服务器端加密；

数据完整性身份验证。

而云计算服务提供商需要负责冗余、存储、数据库、网络的安全。因此，将安全性和合规性集成到企业现有的持续集成和持续部署管道中变得至关重要。

为了提高云计算应用程序的安全性，企业应首先在安全开发生命周期（SDLC）中尽早识别安全漏洞。实际上，这意味着企业应该在开发的最初阶段融合安全架构审查和安全代码审查，以推动代码的安全实施。许多安全解决方案供应商已经采用这种方法，为开发人员提供安全工具，其中包括培训、在集成开发环境（IDE）和持续集成管道中集成安全实践。人们目前看到的问题包括安全解决方案供应商的编程语言依赖性，尽管大型企业的开发生态系统中存在过多的编程语言。这些工具无法在不同的编程语言中提供相应的质量。例如，大型企业可以利用Node．js和Java安全工具有效识别Node．js漏洞，同时忽略Java中的安全风险。面临这些挑战的企业需要优先考虑其工具的定制，以实现跨编程语言的统一有效性。此外，企业可以利用基准测试工具来了解各种安全解决方案供应商的功效。

评估生产安全工具的功效对于保护云计算应用程序也至关重要。建议首先启动一个针对压力测试关键安全控制的紫色团队练习。这种方法允许企业识别是否存在可能危及其云实例的攻击路径。为了更好地认识到企业可以从安全团队中获益，企业需要了解生产安全评估选项的前景。红色团队练习提供了对手对企业安全态势的看法，蓝色团队练习提供了维护者的观点，紫色团队结合了对手和防守者的观点，提供了对信息安全风险的全面评估。人们看到企业寻求建立或增强紫色团队能力的趋势，有时在外部专家的帮助下实现。根据经验，企业可以通过将人工技术与自动化方法相结合，最有效地进行生产中的紫色团队练习。这使企业可以减少因任何已识别的安全问题而导致的停机时间。重要的是，企业不要在质量保证环境中进行紫色团队练习，因为这可能会降低其结果的有效性。

紫色团队评估可以帮助识别生产中的安全漏洞和业务差距，提供对分层防御（例如Web应用程序防火墙（WAF）、安全网关、安全信息和事件管理（SIEM）、单点登录和运行）的功效的可见性时间应用程序自我保护（RASP）。

保持强大的记录和监控能力

强大的日志记录和监控功能对于组织快速检测和响应影响其云部署的恶意活动至关重要。传统上，提供日志收集和分析的安全信息和事件管理（SIEM）系统在安装和维护方面具有挑战性，日志保留也非常密集。由于模块化功能，更新的安全信息和事件管理（SIEM）系统更易于部署。随着企业越来越多地将日志存储在云中，也减少了内部部署的存储。

企业领导者应该努力使用安全信息和事件管理（SIEM）来实现针对云计算应用程序和基础设施利用的攻击模式的单一控制平台视图。这是通过来自各种发现源（WAF或RASP）的日志聚合来实现的。企业应该验证信息和事件管理（SIEM）功能的有效性，以创建连续的反馈循环，从而使攻击之间的共性成为分层防御和／或应用程序代码的规则集的变化。人们看到许多公司未能建立这种反馈循环，影响了他们保护云中信息的能力。

屡见不鲜的数据泄露事件强调了这样一个事实，全球规模最大的企业也一直在与云安全作斗争。企业的领导团队必须通过在其持续集成／持续部署（CI／CD）管道和生产环境中集成有效的安全控制和流程来应对云安全风险。此外，安全团队需要在非生产环境和生产环境之间创建一个连续的反馈循环，以增强企业的整体安全态势。