[CISO聚焦] “上兵伐谋” – 定义您的现代化安全战略 cisco

现在是“数字化转型”的时代。如果您企业的数字化转型目前还没有提上日程，那么它可能已经在到来的路上了。其实“数字化转型”并不是一个单纯的流程或者结果，从某些方面来看，它是企业转型过程中的其中一个链条，也是一个驱动力，推动我们进行IT转型，以及相应的安全转型。

文章图片

安全是与主体紧密关联的，它存在的唯一目标就是为了保护主体的安全性。在数字化转型过程中，安全团队需要主动与业务团队和IT团队密切合作，构建良好的合作伙伴关系，以企业数字化转型需求为目标，围绕业务生产力、可靠性和安全性建立共同目标并制定安全战略，从而通过安全转型与这些合作伙伴共同实现这些目标。
随着数字化转型的逐步推进，我们的企业IT环境也是在不断进化的。“Cloud First, Mobile First”，我们正在拥抱云计算的时代。我们的企业网络范围越来越庞大，同时也越来越复杂，而网络边界也随之越来越模糊。

文章图片

但是，我们所面临的最终的安全风险和挑战，以及我们需要实现的终极安全目标，并不会因为我们使用了云计算而发生变化，只是这个目标的具体实现方式发生了变化而已。对于安全团队而言，我们仍然需要专注于抑制安全攻击所引入的安全风险和影响，确保我们所有的应用系统、服务和数据满足“安全三要素“-机密性、完整性和可用性的要求，以及隐私保护和安全合规的要求。与“拥抱云计算”一样的，我们也需要“拥抱云计算安全”，并且将“云计算安全”作为我们企业现代化安全战略的重要组成部分。
云计算如何改变安全团队？ “道高一尺，魔高一丈”，随着IT技术的不断进化，我们所面临的安全威胁也是高度进化的。安全团队也需要具备现代化的安全战略、战术策略、安全架构、安全技术以及相应的人员和流程，才能充分的应对高度进化的安全威胁。因此，在云计算的时代，安全团队也需要充分的拥抱云计算、大数据、机器学习和人工智能等现代化的新型技术，才能更好的应对各种攻击行为。
但是这种变革往往是痛苦的，特别是在从传统企业安全转变到拥抱云计算安全的变革初期。在这个时候，安全团队通常仍然会沿用传统的企业安全思维去保护云计算服务和平台。在这个时候，安全团队往往会遭遇以下两个问题：

现有安全团队人员缺乏针对云计算安全相关的知识和技能，从而缺乏对于云计算服务相关的完善支持和防护能力，无法为企业有效的抵御和防范网络安全风险，从而无法对企业的业务转型和数字化转型提供有力的安全和决策支撑。
由于云计算服务的技术变革，我们所面临的安全架构也在进行变革。而传统的企业网络安全工具，往往缺乏针对云计算服务和平台的有效或者高效支持，以及针对云计算平台和服务的有效攻击防范和威胁检测，存在技术能力上的缺失。

但是，“以史为鉴，可以知兴替“，我们既然无法阻挡云计算所带来的变革，何不主动拥抱云计算安全的变革呢？
在云计算的时代，安全团队的职责，主要是以下两者之一：

保护云计算服务、平台和数据。当企业进行数字化转型、拥抱云计算时，我们需要将安全集成到云计算服务的规划、设计、部署、实施和运营中，确保企业的安全策略和规范标准能够在所有的云计算服务和平台上得到有效和高效的实现。
应用云计算所提供的现代化安全技术和能力。“工欲善其事，必先利其器”。我们所面临的安全威胁是高度进化的，因此安全团队也需要具有相匹配的现代化的安全技术和能力，才能充分的应对高度进化的安全威胁。因此，在云计算的时代，安全团队也需要充分的拥抱云计算以及相应的大数据、机器学习和人工智能等先进技术所提供的安全技术和能力，才能更好的应对各种先进的攻击行为，并满足前面一个职责的需求。

文章图片

在企业拥抱云计算的初期，往往先将云计算平台看作一个额外的“虚拟数据中心”；在这个阶段，安全团队通常只是看到上面两个职责中的前者 - “保护云计算服务、平台和数据”。但是随着企业IT采用云计算服务的不断扩大与持续变革，以及现代化企业安全架构与安全技术的不断应用，安全团队的重心通常会转移到上面两个职责中的后者 - “应用云计算所提供的现代化安全技术和能力”。对于企业安全团队而言， “应用云计算所提供的现代化安全技术和能力”通常具有以下收益：
充分的获得基于云计算、大数据、机器学习和人工智能等先进技术的、近乎无限计算能力和存储能力的安全“洪荒之力”；

始终使用最新的安全情报、分析和防范技术与能力；
即插即用，所见即所得，快速启用和扩展安全功能；
低人工干预，高自动化的资产识别与持续安全评估；
按需使用，低资本性支出（CapEx）。

云计算如何改变企业安全？提及云计算相关的安全性，可能大家第一时间脑海里面出现的，就是“共享责任模型”。这是因为云计算服务的核心理念为“租用模式”，基于您具体所使用的云计算服务类型的不同，您所拥有的安全控制和能力也不同，同时，您安全的责任也不同。您和云计算服务商是合作关系，为了实现有效和高效的安全防护，您必须和您的云计算服务商进行充分和紧密的合作。所有安全团队都必须学习和理解这种“共享责任模型”，以适应云计算时代的、这一新世界的安全技术和能力组合，从而避免无意中造成企业安全态势的缺口或重叠，从而导致安全风险或资源浪费。

文章图片

在很多安全团队人员的思想中，云计算安全只是一个传统企业安全的增量，核心是围绕着云计算服务进行安全防护，而不是替代传统的企业安全。其实我认为，仅有这个思维是远远不够的，云计算安全是一个技术的代际更替，类似于从大型机迁移到PC机。我们企业安全发展的未来是充分的“应用云计算所提供的现代化安全技术和能力”。我们需要充分的认识到这一变革的重要性和紧迫性，从期望和心态上发生根本性的转变，从而才能成功的驾驭这一变化，从而减少组织内部的冲突，并提高安全团队的有效性和高效性。
【[CISO聚焦] “上兵伐谋” – 定义您的现代化安全战略】以下方面在“拥抱云计算安全”的安全战略中具有非常重要的影响和地位，必须优先进行考虑：

具有共同目标的伙伴关系。在这个决策节奏快、过程不断演变的时代，安全团队不能再“以自我为中心”，而是必须与业务团队和 IT 团队密切合作，构建良好的合作伙伴关系，以企业数字化转型需求为目标，围绕业务生产力、可靠性和安全性建立共同目标，并与这些合作伙伴共同实现这些目标。
这种伙伴关系是"安全左移"的最终形式，即在业务流程中尽早整合安全，从而使解决安全问题更加容易和有效。这需要组织中的所有参与者（业务、IT和安全等）进行相应文化变革，并构建良好的组织协作氛围。
就安全团队自身而言，必须：
（1）了解业务目标和 IT 目标，以及为什么每个目标都很重要，以及他们在转型时如何考虑实现这些目标。
（2）分享为什么安全在这些业务目标和风险中很重要，其他团队可以做些什么来实现安全目标，以及他们应该如何实现这一点。

虽然这不是一项容易的任务，但它对于可持续地保护企业组织及其资产至关重要。在初期，这种合作伙伴关系可能会导致安全的妥协乃至降低，但随着时间的推移，将逐步稳步改善。

安全是一个持续的风险，而不是一个问题。安全性是安全风险的可能性与潜在负面影响的组合。你很难像解决一个问题一样来解决安全风险，所有的安全风险也不是仅仅靠某个解决方案就能够完美解决的。针对安全风险的管理是一个持续的过程。安全永远是一场不完美的旅行，没有终点，不进则败。

无论业务生产力或安全性的成功都需要两者兼得。对于企业组织而言，业务生产力和安全性是“鱼和熊掌”都要兼得。如果企业组织没有生产力并推动数字化转型或创新，它可能会失去在市场上的竞争力，导致其最终失败。如果企业组织不安全，那极为容易失去对企业资产的控制并且导致业务失败，从而一样会失去在市场上的竞争力，并最终导致失败。

没有完美的事物。我想，没有哪个企业组织敢说自己是完美地在使用云计算，即便我们微软。Microsoft IT团队和安全团队与我们的客户一样，在安全转型过程中应对许多相同的挑战，例如寻求如何更好的构建项目、平衡支持传统环境与支持创新挑战，甚至云计算的技术能力差距。随着这些团队学习如何更好地操作和保护云计算，他们正通过微软Technet上的相关文档和Microsoft IT Showcase网站积极分享经验教训，同时不断向我们的产品研发和工程团队以及第三方供应商提供反馈，以持续改进产品和技术。因此，根据我们的经验，我们建议团队坚持不断学习和改进的标准，而不是完美实现的标准。

转型中不仅仅只有风险，也会带来机会。危机危机，有危必有机，将数字化转型视为安全的重要积极机会非常重要。虽然很容易看到这种变革的潜在缺点和风险，但是如果不积极参与，则很容易错过重塑安全角色与定位以及获取决策席位的巨大机会。安全转型只有与企业业务转型与数字化转型紧密合作，才能使大家的工作都变得更为愉快，并更好的实现企业组织的使命。