在云端,財(cái)務(wù)效率和強(qiáng)大的安全性是兩個(gè)關(guān)鍵優(yōu)先事項(xiàng)���。打破財(cái)務(wù)運(yùn)營(yíng)和網(wǎng)絡(luò)團(tuán)隊(duì)之間的孤島可以帶來(lái)顯而易見(jiàn)的協(xié)同效應(yīng)。
對(duì)于在云上運(yùn)營(yíng)的企業(yè)來(lái)說(shuō)����,安全性和成本管理正在成為日益嚴(yán)重的問(wèn)題�。
通常情況下����,這些問(wèn)題都是各自為政,網(wǎng)絡(luò)團(tuán)隊(duì)和FinOps【FinOps是一種云財(cái)務(wù)管理學(xué)科和文化實(shí)踐�,它結(jié)合了Finance(財(cái)務(wù))和DevOps(開(kāi)發(fā)運(yùn)維)的概念,目的是在云計(jì)算環(huán)境中實(shí)現(xiàn)成本的可預(yù)測(cè)性����、透明度和責(zé)任性】團(tuán)隊(duì)分別追求他們的章程和優(yōu)先事項(xiàng)——并且很少考慮這些團(tuán)隊(duì)之間可以利用的合作機(jī)會(huì),以獲得更好的業(yè)務(wù)成果���。
隨著CIO尋求更好地控制其云支出和安全����,這些團(tuán)隊(duì)是時(shí)候更緊密地合作了����。這可能具有挑戰(zhàn)性,因?yàn)镃ISO(首席安全官)和FinOps(財(cái)務(wù)運(yùn)營(yíng))團(tuán)隊(duì)通常不屬于同一報(bào)告結(jié)構(gòu)�����,這可能會(huì)阻礙某些企業(yè)文化中的協(xié)作,尤其是在安全孤立運(yùn)作的企業(yè)文化中����。
此外,這些團(tuán)隊(duì)的運(yùn)營(yíng)之間存在工具�����、流程和數(shù)據(jù)實(shí)踐差異���,需要解決這些差異才能釋放他們的合作對(duì)企業(yè)整體云戰(zhàn)略的潛力�。
例如�����,從技術(shù)角度來(lái)看��,CSPM(云安全態(tài)勢(shì)管理)和CWPP(云工作負(fù)載保護(hù)平臺(tái))充滿了可以幫助FinOps團(tuán)隊(duì)的數(shù)據(jù)�����,除了它們已經(jīng)為安全團(tuán)隊(duì)所做的工作之外��。同樣,云成本管理平臺(tái)和其他FinOps工具也擁有安全團(tuán)隊(duì)可以利用的數(shù)據(jù)來(lái)發(fā)出警報(bào)和報(bào)告����。
以下是將安全性與FinOps操作相結(jié)合的11條技巧����,以實(shí)現(xiàn)更安全、更注重成本的云管理方法�。
一、建立共享報(bào)告和分析
集成安全和云成本管理工具的第一步是建立共享報(bào)告和分析功能�,將安全和成本指標(biāo)統(tǒng)一到一個(gè)儀表板上。將這些數(shù)據(jù)整合在一起��,您的團(tuán)隊(duì)可以分析安全策略的財(cái)務(wù)影響���,并跟蹤與您的FinOps和安全目標(biāo)相符的關(guān)鍵績(jī)效指標(biāo)�����。
一個(gè)例子是將AWS Cost Explorer【AWS Cost Explorer是亞馬遜云科技(AWS)提供的一款成本管理服務(wù)工具���。它允許用戶可視化、理解和管理隨時(shí)間變化的AWS成本和使用情況】與其他AWS安全服務(wù)集成��,以提供有關(guān)安全性和云指標(biāo)的綜合見(jiàn)解。構(gòu)建儀表板的其他選項(xiàng)包括Azure Monitor(Azure Monitor是微軟Azure提供的一個(gè)全面的監(jiān)控解決方案���,用于收集��、分析和響應(yīng)來(lái)自云和本地環(huán)境的遙測(cè)數(shù)據(jù)�。它可以幫助用戶最大程度地提高應(yīng)用程序和服務(wù)的可用性和性能)或開(kāi)源工具���,例如Grafana(Grafana是一個(gè)開(kāi)源的分析和監(jiān)控平臺(tái)�,用于可視化時(shí)間序列數(shù)據(jù)���。它通常用于監(jiān)控和分析來(lái)自各種數(shù)據(jù)源的度量指標(biāo)��,如服務(wù)器�、數(shù)據(jù)庫(kù)和應(yīng)用程序)或Kibana(Kibana是一款開(kāi)源的數(shù)據(jù)分析和可視化平臺(tái)����。它提供了一個(gè)基于瀏覽器的界面,使用戶能夠快速創(chuàng)建和分享動(dòng)態(tài)數(shù)據(jù)儀表板來(lái)追蹤 Elasticsearch 的實(shí)時(shí)數(shù)據(jù)變化)�����。這種綜合見(jiàn)解可能包括:
合規(guī)狀態(tài)指標(biāo)可衡量您的環(huán)境遵守行業(yè)合規(guī)標(biāo)準(zhǔn)的程度
資源利用率�,用于捕獲過(guò)度利用和未充分利用的資源
云支出差異(主要是FinOps指標(biāo))用于檢查成本差異與預(yù)算之間的差異�����,這也可能產(chǎn)生安全隱患
二���、集成監(jiān)控工具
通過(guò)集成FinOps和安全監(jiān)控工具���,進(jìn)一步實(shí)現(xiàn)共享報(bào)告����,您不僅可以更全面地了解云操作����,還可以創(chuàng)建警報(bào)以造福FinOps和安全部門(mén)。
例如�����,不尋常的消費(fèi)模式可能表明存在安全漏洞�����,如加密貨幣挖掘或拒絕錢(qián)包攻擊�。監(jiān)控成本異常和安全事件使您的組織能夠更好地將成本峰值與潛在的安全事件關(guān)聯(lián)起來(lái)�,從而更快地采取補(bǔ)救措施��。
三��、自動(dòng)修復(fù)
作為解決成本和安全問(wèn)題的集成策略�����,自動(dòng)修復(fù)具有新的重要性���。自動(dòng)關(guān)閉或優(yōu)化未充分利用的資源���、應(yīng)用安全補(bǔ)丁和更新以減少漏洞以及對(duì)已配置的資源實(shí)施加密和其他安全控制現(xiàn)在具有雙重目的,不再?lài)?yán)格屬于安全領(lǐng)域�。
FinOps實(shí)踐可以幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)推動(dòng)或驗(yàn)證減少攻擊面的需要,從而最大限度地減少潛在的漏洞�����。
四�����、尋找CMP和K8s管理工具
安全性和FinOps之間的另一個(gè)關(guān)鍵技術(shù)層是CMP(云管理平臺(tái))�。CMP初創(chuàng)公司Cloudbolt(CloudBolt是一家成立于2012年的初創(chuàng)公司���,專(zhuān)注于開(kāi)發(fā)混合云管理平臺(tái)。該公司的解決方案旨在幫助IT公司配置和管理私有云及公有云資源)的CTO Kyle Campos(凱爾·坎波斯)【Kyle Campos(凱爾·坎波斯)是CloudBolt的首席技術(shù)官�,負(fù)責(zé)推動(dòng)公司的全球工程和創(chuàng)新。他是一位擁有25年經(jīng)驗(yàn)的技術(shù)老將���,擅長(zhǎng)構(gòu)建可擴(kuò)展����、敏捷且實(shí)用的開(kāi)發(fā)項(xiàng)目】強(qiáng)調(diào)了第一天部署藍(lán)圖和偏差檢測(cè)的重要性��,并指出CMP為云和安全團(tuán)隊(duì)提供了可操作的見(jiàn)解��,尤其是配置數(shù)據(jù)����。
Cast AI(Cast AI 是一家提供多云服務(wù)平臺(tái)的初創(chuàng)公司�����,專(zhuān)注于通過(guò)人工智能技術(shù)幫助企業(yè)優(yōu)化和管理云成本��。該公司的平臺(tái)利用機(jī)器學(xué)習(xí)算法自動(dòng)化Kubernetes集群的優(yōu)化�,以提高云資源的利用率并顯著降低云支出)是一個(gè)具有云和Kubernetes成本管理功能的Kubernetes【Kubernetes(常簡(jiǎn)稱(chēng)為K8s)是一個(gè)開(kāi)源的容器編排平臺(tái)��,用于自動(dòng)化部署���、擴(kuò)展和管理容器化應(yīng)用程序】自動(dòng)化平臺(tái),它通過(guò)推出基于其當(dāng)前平臺(tái)的全新Kubernetes安全態(tài)勢(shì)管理(KSPM) 解決方案�����,正面應(yīng)對(duì)FinOps和安全集成討論��。Cast AI聯(lián)合創(chuàng)始人兼首席產(chǎn)品官Laurent Gil(洛朗·吉爾)【Laurent Gil(洛朗·吉爾)是一位經(jīng)驗(yàn)豐富的技術(shù)專(zhuān)家和企業(yè)家�����,在云計(jì)算和網(wǎng)絡(luò)安全領(lǐng)域有著顯著的成就�����。他是Cast AI的聯(lián)合創(chuàng)始人兼首席產(chǎn)品官(CPO)��,這是一家提供多云管理平臺(tái)的公司�����,專(zhuān)注于幫助組織在多個(gè)云服務(wù)提供商中部署��、運(yùn)營(yíng)和優(yōu)化Kubernetes應(yīng)用程序的成本】表示,這樣的解決方案可幫助團(tuán)隊(duì)從“同一個(gè)盒子”管理成本和安全性���。
Gil(吉爾)還強(qiáng)烈提倡通過(guò)自動(dòng)化提高效率��,這很有道理�,因?yàn)樵跁?huì)議和Zoom(Zoom是一家提供遠(yuǎn)程會(huì)議服務(wù)的公司���,其核心產(chǎn)品是同名的Zoom視頻會(huì)議軟件����。該軟件支持視頻通話�����、在線會(huì)議����、聊天和移動(dòng)協(xié)作�����,適用于各種設(shè)備��,包括移動(dòng)設(shè)備、桌面設(shè)備����、電話和會(huì)議室系統(tǒng))通話中,安全團(tuán)隊(duì)的人數(shù)通常比FinOps團(tuán)隊(duì)成員多�。CMP和K8管理工具的自動(dòng)化可實(shí)現(xiàn)定期節(jié)點(diǎn)輪換和其他操作任務(wù),并且可以在不停機(jī)的情況下顯著減少漏洞�����,從而使兩個(gè)團(tuán)隊(duì)可以騰出時(shí)間進(jìn)行更具戰(zhàn)略性的工作���。
五�、標(biāo)準(zhǔn)化標(biāo)記以統(tǒng)一報(bào)告
如上所述�,F(xiàn)inOps團(tuán)隊(duì)通常規(guī)模較小���;因此��,改進(jìn)團(tuán)隊(duì)異步訪問(wèn)數(shù)據(jù)和使用通用詞匯進(jìn)行交流的方式至關(guān)重要����。Cloudbolt的Campos(坎波斯)表示,一個(gè)值得關(guān)注的領(lǐng)域是標(biāo)記分類(lèi)法����。
他說(shuō),要真正實(shí)現(xiàn)協(xié)作�,安全和FinOps團(tuán)隊(duì)必須在分類(lèi)標(biāo)準(zhǔn)化方面達(dá)成一致,直至云工作負(fù)載���。這種標(biāo)準(zhǔn)化使兩個(gè)團(tuán)隊(duì)能夠查看相同的報(bào)告�、警報(bào)和響應(yīng)模式����。
根據(jù)Campos(坎波斯)的經(jīng)驗(yàn),組織孤島首先體現(xiàn)在數(shù)據(jù)結(jié)構(gòu)中���,然后滲透到行為和缺乏溝通中���,這通常會(huì)導(dǎo)致工作在不知情的情況下重疊����。此外,與FinOps工具相比����,安全工具通?��?梢愿绲貦z測(cè)到問(wèn)題,而FinOps工具通常會(huì)延遲數(shù)據(jù)可見(jiàn)性����,Campos(坎波斯)說(shuō)。更有理由讓安全和FinOps團(tuán)隊(duì)達(dá)成共識(shí)����,使用相同的詞匯,以確保他們能夠利用彼此的工作和工具����,使整個(gè)企業(yè)受益。
六����、開(kāi)發(fā)協(xié)作的共同語(yǔ)言
深入研究通用詞匯的主題,CMP為您的組織提供了在安全和FinOps團(tuán)隊(duì)之間創(chuàng)建通用語(yǔ)言的基礎(chǔ)���,因?yàn)樗鼈兺瑫r(shí)提供安全性和成本洞察�。
創(chuàng)建通用語(yǔ)言的其他步驟包括:
七���、交叉培訓(xùn)你的團(tuán)隊(duì)
進(jìn)行交叉培訓(xùn)����,無(wú)論是安全和FinOps團(tuán)隊(duì)之間的非正式知識(shí)共享會(huì)議����,還是對(duì)追求行業(yè)認(rèn)證的團(tuán)隊(duì)提供的全方位公司支持,都是提高團(tuán)隊(duì)協(xié)作和績(jī)效的另一種方法�����。
當(dāng)然���,要說(shuō)服安全團(tuán)隊(duì)成員參加FinOps認(rèn)證從業(yè)者培訓(xùn)����,需要參與者愿意參與���。但優(yōu)先事項(xiàng)和激勵(lì)措施有助于激勵(lì)培訓(xùn)�����,就像計(jì)費(fèi)工作和人員配備水平等業(yè)務(wù)考慮因素也會(huì)影響培訓(xùn)策略一樣����。
八�、建立跨職能云 CoE
Aqua(Aqua Strategy公司是一家提供水資源策略洞察和信息的機(jī)構(gòu),旨在幫助各類(lèi)組織在變化的世界中成功制定和實(shí)施水資源策略����。該公司提供的服務(wù)涵蓋了構(gòu)建成功水策略所需的主要主題,包括推動(dòng)水行動(dòng)和投資的問(wèn)題與法規(guī)��、應(yīng)對(duì)這些問(wèn)題和法規(guī)的技術(shù)和方法���,以及創(chuàng)新策略)戰(zhàn)略高級(jí)副總裁Rani Osnat(拉尼·奧斯納特)【Rani Osnat(拉尼·奧斯納特)是Aqua公司的高級(jí)副總裁�,他強(qiáng)調(diào)了建立一個(gè)跨職能的云卓越中心(Cloud Center of Excellence)的重要性�,這個(gè)中心可以包括云安全、FinOps�、云管理員以及DevOps或基礎(chǔ)設(shè)施經(jīng)理等角色。他們可以共同工作或至少定期會(huì)面�����,以提高對(duì)云部署的整體意識(shí)����,因?yàn)樵撇渴鹕婕暗桨踩拓?cái)務(wù)方面的影響】指出���,許多公司都建立了“云卓越中心,或某種跨職能云團(tuán)隊(duì)���,讓云安全���、FinOps、云管理員和DevOps或基礎(chǔ)設(shè)施經(jīng)理坐在一起或至少偶爾會(huì)面�。”他強(qiáng)調(diào)提高對(duì)云部署的整體認(rèn)識(shí)非常重要�����,因?yàn)闊o(wú)論哪種方式都涉及安全和財(cái)務(wù)問(wèn)題�。
您的云CoE可以協(xié)作設(shè)計(jì)和開(kāi)發(fā)集成云安全和財(cái)務(wù)方面的報(bào)告,以促進(jìn)共識(shí)��。以下是一些示例:
設(shè)計(jì)顯示安全措施的財(cái)務(wù)影響的報(bào)告
創(chuàng)建顯示安全態(tài)勢(shì)和成本指標(biāo)的儀表板
定期在聯(lián)席會(huì)議上審查這些報(bào)告����,討論影響和行動(dòng)
九、通過(guò)DevOps進(jìn)行協(xié)作——或者不
雖然Campos(坎波斯)淡化了DevOps在安全和FinOps團(tuán)隊(duì)協(xié)作方面的作用�,但Cast AI的Gil(吉爾)卻支持DevSecOps【DevSecOps是一種將安全(Security)實(shí)踐集成到開(kāi)發(fā)(Development)和運(yùn)維(Operations)流程中的方法論���。它是對(duì)DevOps文化的擴(kuò)展��,DevOps本身是一種強(qiáng)調(diào)軟件開(kāi)發(fā)(Dev)和信息技術(shù)運(yùn)維(Ops)之間溝通合作的文化���、運(yùn)動(dòng)或慣例】��,以實(shí)現(xiàn)FinOps和安全團(tuán)隊(duì)協(xié)作�����,以平衡成本和安全性��。
Campos(坎波斯)進(jìn)一步建議����,FinOps團(tuán)隊(duì)?wèi)?yīng)以高杠桿為目標(biāo)���,讓少數(shù)員工對(duì)整個(gè)組織產(chǎn)生重大影響��。他的建議是嘗試使用自動(dòng)化以及其他工具和策略來(lái)擴(kuò)大FinOps數(shù)據(jù)的覆蓋范圍���,例如改進(jìn)報(bào)告����。DevOps團(tuán)隊(duì)精通自動(dòng)化���,可能會(huì)在這里提供幫助�����,因?yàn)檫@是在構(gòu)思或?qū)嵤╇A段�。
十���、將安全視為一項(xiàng)業(yè)務(wù)
FinOps基金會(huì)(FinOps基金會(huì)是一個(gè)專(zhuān)注于云成本管理和優(yōu)化的非營(yíng)利性組織����,它致力于通過(guò)最佳實(shí)踐����、教育和標(biāo)準(zhǔn)來(lái)推進(jìn)實(shí)施云成本管理的專(zhuān)業(yè)人士的能力)FinOps負(fù)責(zé)人Rob Martin(羅布·馬丁)【Rob Martin(羅布·馬?��。┰贔inOps基金會(huì)擔(dān)任FinOps主管�。他是一位經(jīng)驗(yàn)豐富的云財(cái)務(wù)管理專(zhuān)家,專(zhuān)注于幫助組織優(yōu)化他們的云成本和資源使用���,他致力于推廣FinOps最佳實(shí)踐����,并通過(guò)教育��、培訓(xùn)和社區(qū)活動(dòng)來(lái)支持云財(cái)務(wù)管理專(zhuān)業(yè)人士的發(fā)展】建議將安全視為組織的業(yè)務(wù)線���。“安全團(tuán)隊(duì)或CISO組織通常不被視為公司必須做的產(chǎn)品�����。這是我們投資的產(chǎn)品�。我們期待結(jié)果,但我們可能不期待財(cái)務(wù)結(jié)果�����?����!?/span>
“過(guò)去幾年���,F(xiàn)inOps基金會(huì)一直在投資的一個(gè)重要領(lǐng)域是FinOps開(kāi)放成本和使用規(guī)范(FOCUS)�����,”Martin(馬?���。┭a(bǔ)充道?!斑@個(gè)開(kāi)源項(xiàng)目對(duì)從業(yè)者社區(qū)來(lái)說(shuō)意義重大,四大云平臺(tái)已經(jīng)在以FOCUS格式生成數(shù)據(jù)�����,使公司能夠更輕松地規(guī)范其成本和使用數(shù)據(jù)以支持FinOps實(shí)踐����。”網(wǎng)絡(luò)安全現(xiàn)在是最新FOCUS版本中的盟友角色���。
Martin(馬?�。┍硎荆骸皬陌踩慕嵌瓤紤]�,這可能是云資源和使用數(shù)據(jù)一致性視圖將使安全團(tuán)隊(duì)受益的另一個(gè)方面?����!崩?����,團(tuán)隊(duì)可以查詢聯(lián)合數(shù)據(jù)湖��,并隨著時(shí)間的推移看到數(shù)據(jù)更加一致�,甚至來(lái)自SaaS產(chǎn)品或其他數(shù)據(jù)源�,因?yàn)镕OCUS【FOCUS是FinOps開(kāi)放成本和使用規(guī)范(FinOps Open Cost and Usage Standard)的縮寫(xiě)】并不特定于云,而是適用于任何有計(jì)費(fèi)數(shù)據(jù)可共享的人����。
十一、采用自上而下的方式促進(jìn)文化變革
FinOps和安全團(tuán)隊(duì)之間的協(xié)作可能具有挑戰(zhàn)性�����,首先是因?yàn)镕inOps實(shí)踐較新�����,需要趕上大多數(shù)組織的網(wǎng)絡(luò)安全實(shí)踐。此外�����,云成本和技術(shù)的交集甚至?xí)屪钣薪?jīng)驗(yàn)的網(wǎng)絡(luò)安全工程師或云解決方案架構(gòu)師望而生畏���,這使得團(tuán)隊(duì)之間的協(xié)作變得難以接受��,需要高管的支持才能實(shí)現(xiàn)����。
啟動(dòng)跨職能計(jì)劃以使兩個(gè)團(tuán)隊(duì)更緊密地合作通常需要CIO和CISO的支持����。從那里開(kāi)始,團(tuán)隊(duì)?wèi)?yīng)該設(shè)定優(yōu)先事項(xiàng)����,以構(gòu)建報(bào)告、標(biāo)記和自動(dòng)化���,使兩個(gè)團(tuán)隊(duì)能夠訪問(wèn)新統(tǒng)一的數(shù)據(jù)��。不要害怕迭代�,因?yàn)檫@項(xiàng)工作可能會(huì)帶來(lái)您的團(tuán)隊(duì)尚未能夠集成到其工作流程中的新數(shù)據(jù)和信息。
Aqua公司的Osnat(奧斯納特)表示:“真正平衡云成本和安全性需要認(rèn)識(shí)到�����,從成本角度來(lái)看���,其背后可能有安全原因����,反之亦然���?��!彼a(bǔ)充說(shuō),安全團(tuán)隊(duì)可能會(huì)對(duì)成本產(chǎn)生負(fù)面或正面的影響�。如果安全團(tuán)隊(duì)可以做一些對(duì)云成本產(chǎn)生積極影響的事情����,他們就應(yīng)該宣傳這一點(diǎn),他說(shuō)�����。
作者:Will Kelly(威爾·凱利)
譯者:穿山甲
【睿觀:將云端安全性與FinOps(云財(cái)務(wù)管理)緊密結(jié)合,可以顯著提升云資源的管理效率��,降低成本�����,并增強(qiáng)整體安全性���。
主要論點(diǎn):
核心觀點(diǎn):
打破孤島:?安全團(tuán)隊(duì)和FinOps團(tuán)隊(duì)需要打破各自為政的局面��,加強(qiáng)合作�。
數(shù)據(jù)驅(qū)動(dòng):?通過(guò)共享數(shù)據(jù)和建立統(tǒng)一的報(bào)告,實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的決策����。
自動(dòng)化:?自動(dòng)化是提高效率和降低成本的關(guān)鍵���。
文化變革:?需要自上而下的支持和跨職能的協(xié)作來(lái)推動(dòng)文化變革。
結(jié)論:?將安全性與FinOps緊密結(jié)合���,不僅可以降低云成本�,還可以提高安全性��,實(shí)現(xiàn)更有效的云資源管理���。通過(guò)建立共享報(bào)告�、集成監(jiān)控工具�����、自動(dòng)化修復(fù)�、標(biāo)準(zhǔn)化標(biāo)記、開(kāi)發(fā)共同語(yǔ)言����、交叉培訓(xùn)、建立云CoE�����、利用DevOps����、將安全視為一項(xiàng)業(yè)務(wù)以及采用自上而下的方式促進(jìn)文化變革,企業(yè)可以實(shí)現(xiàn)更安全����、更注重成本的云管理?���!?/span>
