事实上,大多数企业都将安全团队和工具放在一个竖井中。当我看到这些坏习惯被带入云计算安全时,我简直要发疯了。我讲过这个话题三年前在很大程度上,它没有变化。
今天的许多安全漏洞都是人为错误造成的。Ponemon和IBM的一项研究表明,错误配置的云服务器导致19%的数据泄露.成本?每次泄密赔偿50万美元。的原因吗?大多数时候,有太多的移动部件让安全团队无法保证安全。他们失去了跟踪,东西配置错误,然后就发生了泄露。简单。
复杂性并不新鲜;这事已经困扰我们很多年了。最近,多云和其他复杂的异构平台部署加速了过于复杂的部署。与此同时,安全预算、方法和工具保持不变。随着复杂性的增加,违约风险也会以大致相同的速度加速。
大多数IT公司在研究网络安全或云安全时,并不认为复杂性是一个重要的跟踪指标。它经常被忽视,因为大多数安全性是一组孤立的进程。架构团队将安全性视为一个黑盒子,其中的东西被抛过一堵墙,然后以某种方式神奇地变得安全。
很长一段时间以来,我们一直需要将安全性与开发、架构和操作集成在一起。一些组织实践devsecops(开发、安全和运营),并集成这些概念,让每个人的专业知识来解决所有问题。
在理想的世界中,安全性从来不是其他人的问题,因为开发、体系结构、安全性和操作之间的界限不存在。每个人在所有开发、设计和部署方面一起工作。安全是系统的一切,这是正确的看待它的方式。
当安全性无处不在时,它也成为定义核心云和非云架构时的一个因素,包括引入的复杂性以及如何有效地管理它。这包括通过安全操作解决增加的安全风险。可以使用许多方法、概念和技术来管理和降低风险,同时增加交付给业务的价值。
随着我们进入2023年,由于日益复杂或孤立的方法,我们仍然生活在安全风险中,这有点令人不安。许多企业的文化使我们无法管理事物。太多IT行业的人仍然说:“你呆在你的角落里,我呆在我的角落里。”
这是不可能做到云计算或云安全并期望成功的。让我们照照镜子,看看在新的一年里我们有什么可以改进的。