2023年最重要的三大云安全技能
一年之计在于春,眼看2023年第一季度即将过半,作为网络安全人士,是时候立下一些自我迭代的Flag了。
云安全是各大研究机构一致看好的增速最快的网络安全细分市场,我们此前介绍过“最热门的云安全认证”。本文,我们将介绍三个2023年最重要的云安全技能,供广大网络安全人士参考。
一、基础架构即代码
如果您的企业依赖云端环境,那就绕不开IaC(基础设施即代码),这也会是你的刚需技能之一。
IaC简单来说,就是在代码模板中定义基础设施,然后由云服务商处理并转换为云中的实际基础设施。
例如,下面这样的几行代码就可以在云中启动一个完整的服务器。
IaC可实现所需的自动化,因为在云环境中没有人会通过管理界面配置数百台服务器,更多是使用IaC模板,如Cloudformation或Terraform之类。
IaC还有许多安全优势,例如完全可见性、代码审查和不变性。
大多数云安全专家都懒得学习IaC,结果错过了早期检测到的许多安全问题。因此,不要过度依赖第三方工具,学会自己阅读IaC模板。
如果你打算认真学习IaC,那么我建议从Terraform基础知识开始,它可以在任何云环境中使用。(参考:
https://developer.hashicorp.com/terraform/tutorials)
二、无服务器
通俗来说,无服务器(Serverless)可以看作是增强版云服务,可以帮助CIO忘记对底层操作系统或运行时环境的担忧,而专注于交付应用程序。
无服务器也是一种对环境进行完全抽象的执行模型,只有代码可以运行(所以安全!)。
在无服务器模型中,没有要修补或扫描的服务器,也没有要保护的网络边界,所有安全权重落在应用程序代码上。
令人惊讶的是,今天依然有大量云安全人员并不了解无服务器功能,更谈不上维护。
一些所谓的云安全专家甚至无法在无服务器环境中编写一个简单的“Hello World”函数。这个问题必须尽快解决,否则专家们最终将在新的云运营模式中迷失方向。
上图:一个简单的AWS无服务器函数
你可以尝试编写一些简单的无服务器函数并掌握这个新模型。
记住,您无需成为编码大师即可掌握无服务器。
掌握无服务器技能将助您在竞争中脱颖而出,并为安全自动化时代做好准备。
三、安全自动化
安全自动化技能建立在前一项无服务器技能的基础上,因为相对本地部署,自动化是云的关键优势之一。
一旦你意识到可以让服务相互通信,你就可以在云中轻松创建完整的工作流,而无需任何人工参与。
虽然你也可以在本地进行自动化,但云的易用性和强大功能有着巨大优势。
了解云事件如何发生,并编写一些无服务器函数来响应它们,你可以实现对云安全事件的自动响应。
无服务器和自动化可以看作是云端的24/7全天候安全分析师,随时响应安全事件。
例如,下面这个工作流程仅使用本地AWS服务编排创建了一个完整的安全事件响应工作流程,而没有用到任何第三方解决方案!