梳理企業(yè)常用云產(chǎn)品和使用方式

企業(yè)應統(tǒng)計阿里云賬號下開通的云產(chǎn)品資源，并做好分類。同時調(diào)研其使用方式，從安全層面關(guān)注的使用方式的影響主要是該云服務(wù)是公網(wǎng)訪問還是私網(wǎng)訪問，是共享資源還是獨享資源，以及該云服務(wù)應用和存儲的數(shù)據(jù)類別及重要程度等。以便在后續(xù)的安全風險評估中，根據(jù)云產(chǎn)品實際應用場景來確定給出的風險建議。

建議企業(yè)按照以下分類方式對云資源進行分類：

選擇安全評估標準

針對云平臺和云服務(wù)的安全評估標準分為兩個層面，第一個層面是基準，第二個層面是策略。策略是達成一系列基準的檢測方法，每個云平臺的安全評估策略略有不同，但可以遵循同一個基準執(zhí)行相關(guān)的檢測策略。這也是大多數(shù)企業(yè)多云客戶的選擇方式。

推薦企業(yè)參考的基準模板如下：

• ISO 27001

• 阿里云安全最佳實踐

通常情況下，企業(yè)需要結(jié)合推薦的基準模板結(jié)合自身業(yè)務(wù)進行梳理和融合，如金融行業(yè)可在基準模板上再疊加PCI DSS、等級保護、GDPR等基準，融合成為適合企業(yè)在云環(huán)境的統(tǒng)一標準安全評估基準。

使用工具自動化檢測掃描配置風險

在確定企業(yè)的安全評估基準后，需要通過一系列的策略來檢測企業(yè)是否使用或開啟相關(guān)的安全控制措施，以滿足安全基準要求。并根據(jù)檢測結(jié)果給出云平臺整體的安全評估風險和建議。

• 使用云安全中心的云平臺配置檢查功能對當前云賬號下的默認配置及安全控制項進行檢測。

• 通過查看云平臺配置檢查列表中的檢測策略，包含了阿里云身份權(quán)限管理檢測策略、云產(chǎn)品配置最佳實踐、合規(guī)檢測策略等。

設(shè)定云資源安全評分

推薦企業(yè)采用定量的安全評分系統(tǒng)對云資源的整體安全風險進行可量化的評估，安全評分可以間接的反映結(jié)合安全評估基準，企業(yè)的安全控制措施的完備性。同時在多賬號的客戶架構(gòu)中，安全評分也可用于更好地管理業(yè)務(wù)團隊安全的使用云資源。

企業(yè)使用云安全中心的云平臺配置檢查功能完成自動化掃描后，會根據(jù)企業(yè)訂閱的資產(chǎn)通過率進行打分，企業(yè)可根據(jù)評分情況及通過率查看每個策略詳情，關(guān)聯(lián)的資產(chǎn)、賬號等。詳細細節(jié)參考云安全中心的安全評分功能。

跟蹤風險和定期評估

企業(yè)應定期對云服務(wù)環(huán)境進行風險評估，因為云資源的生命周期相比傳統(tǒng)IDC要短，每次資源變更都有可能產(chǎn)生新的安全風險，需要企業(yè)結(jié)合上述最佳實踐方式，設(shè)定定期評估的方案計劃，以及通過安全評分來跟蹤云服務(wù)的安全風險水平。