安全團隊和云計算團隊之間更好協(xié)作的6個技巧

隨著云計算技術(shù)的成熟，云計算工程師與安全團隊之間更好的協(xié)作應(yīng)該自然地隨之增長。如果云計算團隊將安全性視為一種難以應(yīng)對的阻礙，那么需要來自企業(yè)管理層和團隊成員的共同努力，它們需要通過建立訪問關(guān)系、數(shù)據(jù)共享和其他跨團隊的工作來完成。只需更多主動性和跨團隊溝通，就可以打破傳統(tǒng)的孤島，以確保發(fā)生數(shù)據(jù)泄露或其他網(wǎng)絡(luò)攻擊事件時，這兩個團隊之間就能夠更好地相互支持。

以下是有關(guān)如何改善云計算團隊與網(wǎng)絡(luò)安全團隊之間協(xié)作的一些技巧：

1. 事先提出問題;盡早開誠布公地進行溝通

微軟公司首席技術(shù)官現(xiàn)代工作辦公室的安全架構(gòu)師Wayne Anderson強調(diào)，安全保護系統(tǒng)用戶的信任和隱私是企業(yè)中每個人的責(zé)任。他建議云計算團隊與網(wǎng)絡(luò)安全團隊都要提出一些有關(guān)如何使安全性更加輕松和減少干擾的問題。Anderson還建議這兩個團隊討論如何消除沖突，以便更快地進行身份和訪問管理。

例如在諸如團隊立場和共享在線渠道之類等方面進行提問。如有必要，兩個團隊應(yīng)該提前解決如何更好地相互提問，以節(jié)省時間和精力。

2. 定義兩個團隊的成功，以避免以后發(fā)生沖突

Anderson建議，這兩個團隊都需要盡早定義“成功”的含義。其答案需要考慮所在企業(yè)的安全標準。另外，答案還需要滿足企業(yè)利益相關(guān)者確定預(yù)算或批準項目進行的要求。

他說，“盡早建立共識。全面審查項目概念和與安全團隊有關(guān)的服務(wù)，并找出緊迫的問題。”盡早建立共識可以讓兩支團隊回顧并共同解決一些問題。

避免并解決沖突最終是一項業(yè)務(wù)決策。因此，Anderson建議這兩個團隊的首要也是最關(guān)鍵的事項之一：不要將安全決策作為自己的問題。這兩個團隊一起工作以加快處理事務(wù)的速度，首先需要關(guān)注業(yè)務(wù)需求以及如何實現(xiàn)目標。

3. 嚴格管理云帳戶特權(quán)

信息系統(tǒng)安全認證專家和Ascent Solutions公司網(wǎng)絡(luò)安全策略師Kayne McGladrey表示，企業(yè)應(yīng)該對帳戶特權(quán)進行嚴格管理，這為企業(yè)提供了對其云計算團隊用戶帳戶和特權(quán)的詳盡視圖。這兩個團隊都必須了解并接受預(yù)先控制訪問權(quán)限的需求，這一點很重要。

當(dāng)云計算工程師擁有的管理員特權(quán)超出其工作所需的特權(quán)時，如果其憑據(jù)被盜，網(wǎng)絡(luò)攻擊者可以竊取從數(shù)據(jù)到虛擬機的所有信息。McGladrey認為，云計算工程師有責(zé)任只要求他們完成工作所需的特權(quán)，而不再需要其他特權(quán)。

因此，安全團隊應(yīng)該只向云計算團隊授予必要的特權(quán)，以便他們可以實施工作。安全團隊需要有一個定義的工作流，用于在其組織的票證系統(tǒng)中內(nèi)置用于請求特權(quán)提升的功能。同樣，安全團隊需要與云計算團隊合作創(chuàng)建這個過程。

4. 部署信息共享工具

VenToken Raju是ColorTokens公司首席解決方案架構(gòu)師/技術(shù)布道者，他強調(diào)了使用支持兩個團隊之間信息共享的云原生和第三方工具的重要性。他建議，企業(yè)花費一些時間預(yù)先配置安全性和云計算管理視圖，以支持企業(yè)的業(yè)務(wù)和應(yīng)用程序的運行。

信息共享工具可以采用云管理平臺(CMP)、安全信息和事件管理(SIEM)平臺或其他安全和后端管理工具，這些工具可以提供這兩個團隊在軟件開發(fā)生命周期中通過部署需要查看的投入運營的數(shù)據(jù)和分析結(jié)果。

此外，McGladrey建議，通過Microsoft Teams、Slack或其他在線協(xié)作平臺保持團隊之間開放的溝通渠道。企業(yè)可以通過設(shè)置跨團隊或項目通信共享渠道來做到這一點。他還建議每個團隊任命一個專職人員來共享和建立團隊之間的關(guān)系。

5. 著眼于數(shù)據(jù)而不僅僅是技術(shù)，以找到共同點

McGladrey建議說：“兩個團隊都需要專注于數(shù)據(jù)，而不是技術(shù)。作為技術(shù)專家，這聽起來可能很奇怪，但是人們很少談及技術(shù)帶來的漏洞。”

McGladrey說，有些企業(yè)并沒有因為技術(shù)問題而被罰款，只是因為數(shù)據(jù)泄露破壞了法定數(shù)據(jù)規(guī)定的個人身份信息(PII)或個人健康信息(PHI)而被罰款。McGladrey建議，云計算團隊對企業(yè)存儲數(shù)據(jù)的位置保持公開和透明，并記錄位置。如果安全團隊不知道數(shù)據(jù)的存儲位置，他們將無法收集任何遙測信息或部署復(fù)雜的安全控制措施。

6. 保留安全性和云計算文檔的硬拷貝

Raju提倡記錄企業(yè)的主要安全決策和云計算決策，并在勒索軟件攻擊或其他網(wǎng)絡(luò)攻擊可能會使企業(yè)的團隊無法訪問在后端系統(tǒng)上的在線文檔的情況下，使兩個團隊都可以訪問這些文檔的硬拷貝版本。

即使沒有專職技術(shù)人員的權(quán)限，Atlassian Confluence和其他平臺也可以將內(nèi)容導(dǎo)出為Microsoft Word的格式，企業(yè)可以將其打印出來以硬拷貝的形式并放置在活頁夾中，以為緊急情況做好準備。其訣竅是堅持使用簡單的格式并創(chuàng)建維護計劃，甚至進行桌面練習(xí)，并提示這兩個團隊不要忘記更新其文檔的硬拷貝版本。

標題名稱：安全團隊和云計算團隊之間更好協(xié)作的6個技巧
網(wǎng)頁URL：http://www.muchs.cn/news28/200828.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、標簽優(yōu)化、網(wǎng)站導(dǎo)航、移動網(wǎng)站建設(shè)、用戶體驗、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)