安全是采用云計(jì)算用戶(hù)的一個(gè)主要問(wèn)題。私有云和公共云都需要一個(gè)全面的安全態(tài)勢(shì),以確保只有授權(quán)用戶(hù)可以訪問(wèn)云計(jì)算資源,即用戶(hù)遵守云計(jì)算服務(wù)供應(yīng)商的政策,確保云計(jì)算流量和數(shù)據(jù)安全。
云計(jì)算安全管理者的角色為IT專(zhuān)業(yè)人士提供了令人興奮的就業(yè)機(jī)會(huì),但其工作面試具有一定的挑戰(zhàn)性。如果IT人員希望進(jìn)入云計(jì)算安全領(lǐng)域工作,或推進(jìn)現(xiàn)有的云計(jì)算安全事業(yè)的發(fā)展,就需要準(zhǔn)備應(yīng)對(duì)這些云計(jì)算安全的面試問(wèn)題。
應(yīng)聘者的安全背景是什么?
云計(jì)算安全經(jīng)理的面試通常是從應(yīng)聘人員的教育經(jīng)歷和技術(shù)經(jīng)驗(yàn)開(kāi)始的。當(dāng)涉及到安全性,尤其是云計(jì)算安全管理,通過(guò)一個(gè)正規(guī)的培訓(xùn)有利于IT專(zhuān)業(yè)人員的應(yīng)聘,如要有供應(yīng)商中立的認(rèn)證就更加有利。
例如,云計(jì)算安全管理者的應(yīng)聘者一般應(yīng)持有典型的信息系統(tǒng)安全專(zhuān)業(yè)認(rèn)證(CISSP)。CISSP的培訓(xùn)課程包括一系列的安全相關(guān)的問(wèn)題,包括風(fēng)險(xiǎn)管理、安全工程、身份和訪問(wèn)管理、網(wǎng)絡(luò)安全、評(píng)估和測(cè)試,以及安全風(fēng)險(xiǎn)相關(guān)的軟件開(kāi)發(fā)等。
此外,應(yīng)聘者應(yīng)表現(xiàn)出對(duì)IT治理和法規(guī)遵從問(wèn)題的深刻理解,以及對(duì)薩班斯-克斯利法案,或SOX和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn),或PCIDSS標(biāo)準(zhǔn)有著深刻的理解。
應(yīng)聘者目前的安全職責(zé)是什么?
這是一個(gè)最具要求的云計(jì)算安全面試問(wèn)題。其目的就是了解應(yīng)聘者現(xiàn)在正在做什么工作,并衡量應(yīng)聘者如何滿(mǎn)足新角色的要求。
任何安全管理者都應(yīng)該知道如何保護(hù)現(xiàn)代服務(wù)器、桌面和移動(dòng)操作系統(tǒng)。但云計(jì)算安全管理涉及到整個(gè)組織業(yè)務(wù)。云計(jì)算安全經(jīng)理必須設(shè)計(jì)、執(zhí)行和維護(hù)策略,確保地方和公共云基礎(chǔ)設(shè)施的所有元素安全。云計(jì)算安全管理的范圍也擴(kuò)展到軟件開(kāi)發(fā),其中可能涉及DevOps和系統(tǒng)工程團(tuán)隊(duì)。
此外,云計(jì)算安全管理者需要優(yōu)先安排和協(xié)調(diào)不同的安全技術(shù),并與其他信息技術(shù)人員合作,部署和維護(hù)這些技術(shù)。
云安全戰(zhàn)略如何區(qū)別于本地安全策略?
雖然沒(méi)有一個(gè)單一的“正確”的方式對(duì)此作出回應(yīng),但要注意公共云的安全需要妥協(xié);組織要有較小的可見(jiàn)性,并控制他們的基礎(chǔ)設(shè)施的控制。確保云與內(nèi)部部署環(huán)境時(shí),真正的區(qū)別是解決可見(jiàn)性和控制這方面的損失。
這提高了技術(shù)的利害關(guān)系,如對(duì)傳輸中和閑置的數(shù)據(jù)加密,并強(qiáng)調(diào)多因素身份驗(yàn)證,加強(qiáng)訪問(wèn)控制和用戶(hù)緊密的政策和流程的需要。也有新的應(yīng)用,如專(zhuān)門(mén)用于云發(fā)展那些微服務(wù)。這意味著云計(jì)算安全經(jīng)理必須為云應(yīng)用程序及其組件減少攻擊面。例如,微服務(wù)通常是通過(guò)API溝通,讓IT團(tuán)隊(duì)?wèi)?yīng)該加密API調(diào)用或數(shù)據(jù)有效載荷。
軟件開(kāi)發(fā)如何影響云計(jì)算安全?
云安全管理人員越來(lái)越多地參與軟件開(kāi)發(fā),所以熟悉開(kāi)發(fā)范例可以提高應(yīng)用程序開(kāi)發(fā)、測(cè)試和部署的安全性。
云計(jì)算安全經(jīng)理應(yīng)該了解現(xiàn)代軟件開(kāi)發(fā)方法,包括敏捷、持續(xù)集成和持續(xù)交付,和DevOps。雖然安全經(jīng)理不需要是一個(gè)編程專(zhuān)家,但也應(yīng)該知道如何防范軟件對(duì)云安全威脅,并部署應(yīng)用程序發(fā)布的安全。例如,云安全經(jīng)理可能會(huì)建議使用加密的API或與開(kāi)發(fā)商的API集成了云提供商的身份和訪問(wèn)管理服務(wù)。
云安全管理人員也應(yīng)該對(duì)基于云的企業(yè)應(yīng)用程序執(zhí)行風(fēng)險(xiǎn)評(píng)估,如谷歌驅(qū)動(dòng)器,Dropbox,Workday和Slack,以及金融系統(tǒng)的應(yīng)用,如PeopleSoft,以及Salesforce這樣的CRM工具。
現(xiàn)在的管理職責(zé)是什么?
云計(jì)算安全管理發(fā)展的政策、標(biāo)準(zhǔn)和基準(zhǔn)來(lái)促進(jìn)統(tǒng)一和安全的IT基礎(chǔ)設(shè)施。他們還需要不斷地監(jiān)測(cè)變化的威脅,并確定和解決新的問(wèn)題。
應(yīng)聘者必須具備良好的口頭和書(shū)面溝通能力,并能清楚地傳達(dá)給工程師、項(xiàng)目經(jīng)理、產(chǎn)品團(tuán)隊(duì)和高級(jí)管理人員的技術(shù)問(wèn)題和風(fēng)險(xiǎn)。云計(jì)算安全管理者還必須能夠組織和激勵(lì)員工學(xué)習(xí)眾多的技能,并在安全領(lǐng)域有很多的經(jīng)驗(yàn),所以管理者是一個(gè)專(zhuān)業(yè)團(tuán)隊(duì)的建設(shè)者,可以帶領(lǐng)下屬實(shí)施職業(yè)發(fā)展。例如,談?wù)撊绾螆F(tuán)結(jié)一個(gè)團(tuán)隊(duì),以確定一個(gè)新的威脅和設(shè)計(jì)適當(dāng)?shù)姆烙芰Α?/p>
應(yīng)聘者真的為這個(gè)角色添加了價(jià)值?
這是常見(jiàn)的云計(jì)算機(jī)安全面試的問(wèn)題,試圖看看不只是應(yīng)聘者能做的工作,而是能帶來(lái)什么,并向未來(lái)雇主顯示是一個(gè)有價(jià)值的人才。
通過(guò)討論如何通過(guò)安全標(biāo)準(zhǔn)或?qū)⑦@些標(biāo)準(zhǔn)如何應(yīng)用到應(yīng)聘者目前的工作中,其現(xiàn)有工作方式對(duì)未來(lái)的雇主是否有價(jià)值。例如,談?wù)撘恍┟嬖嚬龠€沒(méi)有使用過(guò)的安全工具或框架的經(jīng)驗(yàn)。此外,討論應(yīng)聘者的工作資產(chǎn)將如何讓業(yè)務(wù)受益,包括改進(jìn)的合規(guī)性情況,增加用戶(hù)的安全性等。
京公網(wǎng)安備 11010502049343號(hào)