以下是有關(guān)如何改善云計(jì)算團(tuán)隊(duì)與網(wǎng)絡(luò)安全團(tuán)隊(duì)之間協(xié)作的一些技巧:
1.事先提出問題;盡早開誠(chéng)布公地進(jìn)行溝通
微軟公司首席技術(shù)官現(xiàn)代工作辦公室的安全架構(gòu)師Wayne Anderson強(qiáng)調(diào),安全保護(hù)系統(tǒng)用戶的信任和隱私是企業(yè)中每個(gè)人的責(zé)任。他建議云計(jì)算團(tuán)隊(duì)與網(wǎng)絡(luò)安全團(tuán)隊(duì)都要提出一些有關(guān)如何使安全性更加輕松和減少干擾的問題。Anderson還建議這兩個(gè)團(tuán)隊(duì)討論如何消除沖突,以便更快地進(jìn)行身份和訪問管理。
例如在諸如團(tuán)隊(duì)立場(chǎng)和共享在線渠道之類等方面進(jìn)行提問。如有必要,兩個(gè)團(tuán)隊(duì)?wèi)?yīng)該提前解決如何更好地相互提問,以節(jié)省時(shí)間和精力。
2.定義兩個(gè)團(tuán)隊(duì)的成功,以避免以后發(fā)生沖突
Anderson建議,這兩個(gè)團(tuán)隊(duì)都需要盡早定義“成功”的含義。其答案需要考慮所在企業(yè)的安全標(biāo)準(zhǔn)。另外,答案還需要滿足企業(yè)利益相關(guān)者確定預(yù)算或批準(zhǔn)項(xiàng)目進(jìn)行的要求。
他說,“盡早建立共識(shí)。全面審查項(xiàng)目概念和與安全團(tuán)隊(duì)有關(guān)的服務(wù),并找出緊迫的問題。”盡早建立共識(shí)可以讓兩支團(tuán)隊(duì)回顧并共同解決一些問題。
避免并解決沖突最終是一項(xiàng)業(yè)務(wù)決策。因此,Anderson建議這兩個(gè)團(tuán)隊(duì)的首要也是最關(guān)鍵的事項(xiàng)之一:不要將安全決策作為自己的問題。這兩個(gè)團(tuán)隊(duì)一起工作以加快處理事務(wù)的速度,首先需要關(guān)注業(yè)務(wù)需求以及如何實(shí)現(xiàn)目標(biāo)。
3.嚴(yán)格管理云帳戶特權(quán)
信息系統(tǒng)安全認(rèn)證專家和Ascent Solutions公司網(wǎng)絡(luò)安全策略師Kayne McGladrey表示,企業(yè)應(yīng)該對(duì)帳戶特權(quán)進(jìn)行嚴(yán)格管理,這為企業(yè)提供了對(duì)其云計(jì)算團(tuán)隊(duì)用戶帳戶和特權(quán)的詳盡視圖。這兩個(gè)團(tuán)隊(duì)都必須了解并接受預(yù)先控制訪問權(quán)限的需求,這一點(diǎn)很重要。
當(dāng)云計(jì)算工程師擁有的管理員特權(quán)超出其工作所需的特權(quán)時(shí),如果其憑據(jù)被盜,網(wǎng)絡(luò)攻擊者可以竊取從數(shù)據(jù)到虛擬機(jī)的所有信息。McGladrey認(rèn)為,云計(jì)算工程師有責(zé)任只要求他們完成工作所需的特權(quán),而不再需要其他特權(quán)。
因此,安全團(tuán)隊(duì)?wèi)?yīng)該只向云計(jì)算團(tuán)隊(duì)授予必要的特權(quán),以便他們可以實(shí)施工作。安全團(tuán)隊(duì)需要有一個(gè)定義的工作流,用于在其組織的票證系統(tǒng)中內(nèi)置用于請(qǐng)求特權(quán)提升的功能。同樣,安全團(tuán)隊(duì)需要與云計(jì)算團(tuán)隊(duì)合作創(chuàng)建這個(gè)過程。
4.部署信息共享工具
VenToken Raju是ColorTokens公司首席解決方案架構(gòu)師/技術(shù)布道者,他強(qiáng)調(diào)了使用支持兩個(gè)團(tuán)隊(duì)之間信息共享的云原生和第三方工具的重要性。他建議,企業(yè)花費(fèi)一些時(shí)間預(yù)先配置安全性和云計(jì)算管理視圖,以支持企業(yè)的業(yè)務(wù)和應(yīng)用程序的運(yùn)行。
信息共享工具可以采用云管理平臺(tái)(CMP)、安全信息和事件管理(SIEM)平臺(tái)或其他安全和后端管理工具,這些工具可以提供這兩個(gè)團(tuán)隊(duì)在軟件開發(fā)生命周期中通過部署需要查看的投入運(yùn)營(yíng)的數(shù)據(jù)和分析結(jié)果。
此外,McGladrey建議,通過Microsoft Teams、Slack或其他在線協(xié)作平臺(tái)保持團(tuán)隊(duì)之間開放的溝通渠道。企業(yè)可以通過設(shè)置跨團(tuán)隊(duì)或項(xiàng)目通信共享渠道來做到這一點(diǎn)。他還建議每個(gè)團(tuán)隊(duì)任命一個(gè)專職人員來共享和建立團(tuán)隊(duì)之間的關(guān)系。
5.著眼于數(shù)據(jù)而不僅僅是技術(shù),以找到共同點(diǎn)
McGladrey建議說:“兩個(gè)團(tuán)隊(duì)都需要專注于數(shù)據(jù),而不是技術(shù)。作為技術(shù)專家,這聽起來可能很奇怪,但是人們很少談及技術(shù)帶來的漏洞。”
McGladrey說,有些企業(yè)并沒有因?yàn)榧夹g(shù)問題而被罰款,只是因?yàn)閿?shù)據(jù)泄露破壞了法定數(shù)據(jù)規(guī)定的個(gè)人身份信息(PII)或個(gè)人健康信息(PHI)而被罰款。McGladrey建議,云計(jì)算團(tuán)隊(duì)對(duì)企業(yè)存儲(chǔ)數(shù)據(jù)的位置保持公開和透明,并記錄位置。如果安全團(tuán)隊(duì)不知道數(shù)據(jù)的存儲(chǔ)位置,他們將無法收集任何遙測(cè)信息或部署復(fù)雜的安全控制措施。
6.保留安全性和云計(jì)算文檔的硬拷貝
Raju提倡記錄企業(yè)的主要安全決策和云計(jì)算決策,并在勒索軟件攻擊或其他網(wǎng)絡(luò)攻擊可能會(huì)使企業(yè)的團(tuán)隊(duì)無法訪問在后端系統(tǒng)上的在線文檔的情況下,使兩個(gè)團(tuán)隊(duì)都可以訪問這些文檔的硬拷貝版本。
即使沒有專職技術(shù)人員的權(quán)限,Atlassian Confluence和其他平臺(tái)也可以將內(nèi)容導(dǎo)出為Microsoft Word的格式,企業(yè)可以將其打印出來以硬拷貝的形式并放置在活頁夾中,以為緊急情況做好準(zhǔn)備。其訣竅是堅(jiān)持使用簡(jiǎn)單的格式并創(chuàng)建維護(hù)計(jì)劃,甚至進(jìn)行桌面練習(xí),并提示這兩個(gè)團(tuán)隊(duì)不要忘記更新其文檔的硬拷貝版本。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)