云安全团队需掌握云基础设施的特点

重点总结

• 云基础设施与传统数据中心有显著不同，安全团队需调整策略。
• 开发者会根据需要实时调整云基础设施，包括安全配置，这可能带来新风险。
• 需要对云环境进行持续监控与合规性审查，识别并修复配置错误。

安全团队必须明白，云基础设施与数据中心的基础设施有着根本性的差异。它们在漏洞、攻击模式以及安全解决方案上各不相同。

云并不是简单的天空中的远程数据中心。开发者和运维工程师会在需要时构建他们的云基础设施，并可以随时做出（和更改）基础设施决策，包括与安全相关的配置。每次变更都可能带来新的风险，使云环境和数据面临攻击的风险，警惕坏人总会找到它。

这意味着安全团队的角色和保护云的方式都发生了重大变化。攻击者不再仅仅从传统网络入侵，安全团队也无法使用熟悉的解决方案，如入侵检测和网络安全工具进行监控。

当开发者在构建应用时，他们也在构建自己应用所需的基础设施，而无需等待IT团队为他们提供所需的物理基础设施。这个过程现在是通过代码来完成的，这意味着应对云计算的基础机制是应用程序接口（API）——一个使不同应用交互的软件“中介”。这消除了在集中式数据中心中固定IT架构的要求。

这同样意味着传统数据中心的安全模型——在网络边界周围建立一层外向防护壁以阻挡攻击——在云中并不适用。

在一个完全软件定义的世界中，安全团队的职责变成了领域专家，向构建应用程序的开发者提供知识，以确保他们在一个安全的环境中工作。这种知识的传播通过（PaC）来完成，这使开发者能够用应用程序使用的编程语言表达安全和合规规则，从而检查配置的正确性。

PaC会检查其他代码和运行环境中的不良条件和异常。这使所有云利益相关者能够在软件开发生命周期的两端安全地操作，而无须在规则和如何应用这些规则上产生歧义或分歧。

安全团队的心态也需要转变，从试图检测入侵转向更主动的防御。因为在云中，这已经不再可行。当他们发现任何可疑活动时，黑客很可能早已窃取了所需的信息并逃之夭夭。预防成为云安全的唯一希望，因为黑客的攻击速度快且难以实时察觉。

每个云安全团队必须回答以下10个问题，以有效保障他们的云环境和数据安全：