第一步 获得可见性
我们无法保护看不见的东西,因此,第一步是审查企业的云环境以了解其工作负载、配置和流程。企业如果想避免成为安全威胁的受害者以及增加运营成本,应该建立一个综合且全面的网络视图以消除可见性差距问题,即通过维护一个灵活、安全的数字环境满足创新发展需求。
第二步 选择合规框架与范围
在评估云环境安全状况后,企业可以开展高级别的合规计划,选择合适的合规框架与范围。不同的行业有不同的监管要求,例如ISO27001、PCI DSS、SOC2和GDPR。选择相关框架后,企业可以评估哪些云资产/帐户正在处理敏感信息等。
第三步 评估初步结果与计划
根据所选框架与范围,企业能够初步了解当前的安全状况以构建自动化安全合规系统。企业应减少不相关的自动化警报,并专注于向自动化系统添加自定义的安全合规规则以满足企业特定需求。
第四步 持续监控云安全合规
临时的安全评估是不现实的,企业需开展云安全合规的规持续监控和补救计划,并且需要确定报告的反馈频率以及确定响应报告的行动负责人。
第五步 自动化修复
自动修复是必不可少的,而不是仅仅依靠人工,这能够大大缩短解决安全问题的时间。通过自动应用安全策略或更改配置,企业能够轻松发现配置错误的资源,自动化也可以快速修复许多重大问题。
第六步报告与审计
为确保持续性的行业认证,企业需要能够在任何给定的时间生成安全合规报告。而企业的自动化工具应能够按需提供相应快照,并生成一段时间内的安全状况时间表。
京公网安备 11010802033237号
