云安全：如何构建安全团队

如何构建有效的云安全团队
随着越来越多的组织将关键工作负载和数据部署到云中，越来越多的攻击集中在这些环境中。
几个不同的挑战可能会使云事件检测和响应变得困难，包括：
缺乏云技术技能：许多安全运营分析师和事件响应者没有时间和能力了解云环境和技术。供应商不兼容：某些常用的安全操作工具和服务在云服务提供商环境中可能功能较差或不兼容。缺乏云可视化：许多组织对其云部署中的当前资产和运营缺乏深入的洞察力和反省，使安全操作更具挑战性。临时工作量：云中的许多工作负载（如容器）只存在很短的时间，使响应和分析变得困难或不可能。安全运营中心（SOC）团队必须适应云环境。当云在组织中开始变得更加普遍时，某些治理会自然发生。云安全运营中心还需要与风险团队协调，以了解哪些云环境正在使用中，哪些环境计划用于未来。如果云SOC团队不知道资产运行在哪里或使用什么应用程序，则无法识别攻击或事件。
云安全运营中心团队还必须与IT的各个领域合作。组织不再将所有内容划分在单个数据中心或一组数据中心中。SOC团队需要与云工程团队（如果组织有）合作，以更好地了解组织正在与之合作的云提供商以及部署的具体服务和资产。云SOC团队应利用这些信息优化自己的活动并与DevOps团队集成。
有效的云安全运营中心团队操作
云安全运营中心团队应提前执行以下操作：
建立单独的云帐户或完全在其控制下的订阅。创建最少的特权帐户，以便在需要时在云中执行特定操作，并定义帐户角色（理想情况下用于跨帐户访问）。对所有帐户实施多因素身份验证。启用一次写入存储日志和证据，这是最佳做法，即使证据目前没有存储在云中。例如，在AWS 中，可以使用S3 存储桶版本进行安全保留和恢复。云安全操作中心记录最佳实践
组织应启用任何主要IaaS云的日志记录和事件聚合。核心记录架构涉及三个不同的功能：
启用核心API记录：其中包括AWS的云跟踪、Azure的活动日志以及Google云平台（GCP）的操作。集成日志摄入和处理服务：某些服务可以直接从存储中引导日志。大多数云记录最好通过将日志传递到连接和摄录的中间服务中来完成，例如亚马逊云观察、Azure 监视器或 GCP云记录。导出用于处理或与其他服务集成的日志：一旦日志被处理并传递给其他服务，请选择最合适的连接模型。对于云中日志处理和响应，这通常通过事件处理和与无服务器和其他工具的集成来处理。当然，每个云提供商都有自己的特定选项和差异。Azure用户可以直接从Azure监视器集成到微软原生的SIEM工具。AWS用户可以集成来自领先提供商（如Splunk和其他SIEM工具）的第三方连接器应用，以便从 CloudTrail S3 存储桶中摄取，或流式传输到 Kinesis 等服务中以进行摄取。