盡管企業(yè)消費(fèi)技術(shù)的途徑不斷在發(fā)展，但是相比之下最近兩種趨勢(shì)引人注目。首先是云用例持續(xù)激增。其次是新數(shù)據(jù)外泄不斷占據(jù)頭條。可以理解，這兩個(gè)事實(shí)讓很多組織機(jī)構(gòu)擔(dān)心與其云部署相關(guān)的可能的泄露。這種恐懼是復(fù)合的，因?yàn)楹芏鄷r(shí)候，在提及安全操作時(shí)，使用云計(jì)算就假設(shè)放棄了部分控制。換句話說(shuō)，采用云計(jì)算——無(wú)論是通過(guò)內(nèi)網(wǎng)還是外網(wǎng)云服務(wù)提供商交付——意味著有目的的“抽取”應(yīng)用堆棧的基礎(chǔ)部分。

需要指出的是這并非暗指云必然要比替代交付模型更加充滿風(fēng)險(xiǎn)、缺少安全或者更易于產(chǎn)生數(shù)據(jù)泄露。相反，一些數(shù)據(jù)顯示了截然相反的事實(shí)。但是事實(shí)上，云用戶在提及安全時(shí)仍會(huì)感到一機(jī)靈。部分原因是缺少控制：就像一個(gè)飛機(jī)上的乘客可能(根據(jù)統(tǒng)計(jì))要比開(kāi)車的乘客更安全，缺少直接的操作控制也更讓人感到恐懼。

這也就是說(shuō)云服務(wù)提供商(CSP)的數(shù)據(jù)泄露可能且會(huì)發(fā)生。當(dāng)數(shù)據(jù)泄露發(fā)生時(shí)，如果企業(yè)的事件響應(yīng)計(jì)劃由于云的功效做出不適合的響應(yīng)，那這就是一次不幸的意外了。比如，當(dāng)你對(duì)技術(shù)基礎(chǔ)只有很少或者沒(méi)有操作控制時(shí)，整個(gè)計(jì)劃包含具體的技術(shù)活動(dòng)(比如禁用一個(gè)網(wǎng)絡(luò)端口來(lái)壓制惡意軟件主機(jī))可能不可行。

在很多企業(yè)的云環(huán)境中這是可能發(fā)生的，不管是基礎(chǔ)架構(gòu)即服務(wù)(IaaS)、平臺(tái)即服務(wù)(PaaS)還是軟件即服務(wù)(SaaS)。除非你已經(jīng)為這個(gè)做好了一些計(jì)劃，有可能很好地響應(yīng)云端的事件，可能你的遺留應(yīng)急響應(yīng)計(jì)劃并不包含在內(nèi)。比如，你如何獲得通知?誰(shuí)來(lái)授權(quán)實(shí)現(xiàn)來(lái)自提供商技術(shù)服務(wù)請(qǐng)求(他們是否在IR環(huán)中)?這個(gè)請(qǐng)求的機(jī)制是什么?是一個(gè)特定的服務(wù)控制面板還是電話?響應(yīng)團(tuán)隊(duì)的曾遠(yuǎn)知道如何獲得工具嗎?他們能否分配來(lái)進(jìn)行訪問(wèn)?

就像是一個(gè)傳統(tǒng)的IT環(huán)境，找出這些問(wèn)題是如何回答的并不是一蹴而就的事情：現(xiàn)在開(kāi)始準(zhǔn)備就已經(jīng)晚了。在這篇技巧中，我們將回顧如何為一次涉及云服務(wù)提供商的事件計(jì)劃數(shù)據(jù)泄露應(yīng)急響應(yīng)。

做好基礎(chǔ)工作

企業(yè)應(yīng)該做的第一件事情就是根據(jù)云回顧通知的途徑：什么意思呢?如果發(fā)生泄露，(是否)CSP如何向你的企業(yè)機(jī)構(gòu)報(bào)告數(shù)據(jù)泄露或者其他的安全事件。這些聽(tīng)起來(lái)相當(dāng)直接，直到你真正開(kāi)始操作，也就是說(shuō)由于不同的用例和交付模型–以及不同的服務(wù)提供商–可能會(huì)改變通知客戶的方式。

比如，考慮一種大規(guī)模的IaaS部署，比如虛擬化數(shù)據(jù)中心。在這個(gè)場(chǎng)景中，可能合約性的口述需求，泄露通知怎樣和在什么時(shí)候會(huì)出現(xiàn)，可能通過(guò)合同規(guī)定的渠道來(lái)通知你具體的技術(shù)事件。相比之下，SaaS業(yè)務(wù)應(yīng)用可能在合同中規(guī)定通知，但是不要求共享技術(shù)細(xì)節(jié)。其他的，比如面向消費(fèi)者的服務(wù)，比如DropBox,可能沒(méi)有一個(gè)合同，更不必說(shuō)具體的泄露通知了。

問(wèn)題在于，可能并沒(méi)有一個(gè)針對(duì)所有云服務(wù)的跨面板的統(tǒng)一的通知位置。因此，“你怎么知道什么時(shí)候發(fā)生泄漏呢?”就像用例不能用同樣的筆刷圖畫(huà)，通知也同樣。相反，企業(yè)必須就事論事地評(píng)估CSP關(guān)系、用例和通知選項(xiàng)。(需要指出的是這也意味著企業(yè)知道什么用例在第一位。如果不知道，就應(yīng)該從這里開(kāi)始。)

在用這種方式評(píng)估每一個(gè)云用例時(shí)，確?？紤]到CSP被要求做什么(或者對(duì)于內(nèi)部提供商達(dá)成協(xié)議)，告知你事件的機(jī)制，以及你同其交互的選擇是什么等。在評(píng)估期間尤其要注意三件事：你如何使用這個(gè)服務(wù)(比如，存儲(chǔ)的數(shù)據(jù)類型、支持的業(yè)務(wù)類型等)、主要員工(你的員工和提供商的員工)以及你在查找泄露時(shí)的責(zé)任是什么(比如報(bào)告基于你的評(píng)估，比如入侵檢測(cè)或者應(yīng)用日志)。這個(gè)數(shù)據(jù)在隨后的計(jì)劃階段很重要。

開(kāi)始更大的部署很有幫助，比如集中化IaaS和PaaS,因?yàn)樗麄兏子谔幚?。?yīng)用(比如SaaS)也很重要，但是記住追蹤他們是重要的責(zé)任，比如來(lái)自Netskope的最近的數(shù)據(jù)，建議組織架構(gòu)平均采用397個(gè)云應(yīng)用。因此獨(dú)立分析每一個(gè)很可能會(huì)花費(fèi)一點(diǎn)時(shí)間和精力。

這里的關(guān)鍵點(diǎn)在于從容易的開(kāi)始并構(gòu)建它。文檔時(shí)刻伴隨是個(gè)好主意，因?yàn)殡S著時(shí)間的推移會(huì)變得越來(lái)越復(fù)雜。

為運(yùn)營(yíng)響應(yīng)做計(jì)劃

一旦你收集了要求的數(shù)據(jù)，directadmin安裝，是時(shí)候進(jìn)入計(jì)劃的第二階段了：分類以及一個(gè)操作的響應(yīng)藍(lán)圖。如果這個(gè)聽(tīng)起來(lái)非常像“傳統(tǒng)的”泄露響應(yīng)，其實(shí)的確如此。實(shí)際上，云泄露響應(yīng)可以作為更為廣泛的響應(yīng)計(jì)劃工作的擴(kuò)展，從而更好地實(shí)現(xiàn)。的確，云服務(wù)器租用，由于環(huán)境不同，比如優(yōu)先次序不同，技術(shù)響應(yīng)選項(xiàng)和警報(bào)/通知路徑不同，但是記得大多數(shù)用例都會(huì)在云和傳統(tǒng)IT元素之間有一個(gè)交互點(diǎn)。這意味著為云組件嘗試隔離維護(hù)單獨(dú)的響應(yīng)流程不可避免的導(dǎo)向更加的復(fù)雜性，缺乏透明度(比如，運(yùn)營(yíng)責(zé)任)和事件中產(chǎn)生的額外開(kāi)支。