查看原文
其他

2023年最重要的三大云安全技能

GoUpSec 2024-03-26

点击蓝字 关注我们            ///

@GoUpSec



一年之计在于春,眼看2023年第一季度即将过半,作为网络安全人士,是时候立下一些自我迭代的Flag了。


云安全是各大研究机构一致看好的增速最快的网络安全细分市场,我们此前介绍过“最热门的云安全认证”。本文,我们将介绍三个2023年最重要的云安全技能,供广大网络安全人士参考。


一、基础架构即代码

如果您的企业依赖云端环境,那就绕不开IaC(基础设施即代码),这也会是你的刚需技能之一。


IaC简单来说,就是在代码模板中定义基础设施,然后由云服务商处理并转换为云中的实际基础设施。


例如,下面这样的几行代码就可以在云中启动一个完整的服务器。



IaC可实现所需的自动化,因为在云环境中没有人会通过管理界面配置数百台服务器,更多是使用IaC模板,如Cloudformation或Terraform之类。


IaC还有许多安全优势,例如完全可见性、代码审查和不变性。


大多数云安全专家都懒得学习IaC,结果错过了早期检测到的许多安全问题。因此,不要过度依赖第三方工具,学会自己阅读IaC模板。


如果你打算认真学习IaC,那么我建议从Terraform基础知识开始,它可以在任何云环境中使用。(参考:

https://developer.hashicorp.com/terraform/tutorials


二、无服务器

通俗来说,无服务器(Serverless)可以看作是增强版云服务,可以帮助CIO忘记对底层操作系统或运行时环境的担忧,而专注于交付应用程序。


无服务器也是一种对环境进行完全抽象的执行模型,只有代码可以运行(所以安全!)。


在无服务器模型中,没有要修补或扫描的服务器,也没有要保护的网络边界,所有安全权重落在应用程序代码上。


令人惊讶的是,今天依然有大量云安全人员并不了解无服务器功能,更谈不上维护。


一些所谓的云安全专家甚至无法在无服务器环境中编写一个简单的“Hello World”函数。这个问题必须尽快解决,否则专家们最终将在新的云运营模式中迷失方向。


上图:一个简单的AWS无服务器函数


你可以尝试编写一些简单的无服务器函数并掌握这个新模型。


记住,您无需成为编码大师即可掌握无服务器。


掌握无服务器技能将助您在竞争中脱颖而出,并为安全自动化时代做好准备。


三、安全自动化

安全自动化技能建立在前一项无服务器技能的基础上,因为相对本地部署,自动化是云的关键优势之一。


一旦你意识到可以让服务相互通信,你就可以在云中轻松创建完整的工作流,而无需任何人工参与。


虽然你也可以在本地进行自动化,但云的易用性和强大功能有着巨大优势。


了解云事件如何发生,并编写一些无服务器函数来响应它们,你可以实现对云安全事件的自动响应。


无服务器和自动化可以看作是云端的24/7全天候安全分析师,随时响应安全事件。


例如,下面这个工作流程仅使用本地AWS服务编排创建了一个完整的安全事件响应工作流程,而没有用到任何第三方解决方案!



END


相关阅读

2023年十大顶级云安全认证
谷歌:云计算引爆API安全危机

2023年云安全投资最大热点:CIEM


继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存