信息安全度量：什么是云要收集的

CISO需要了解云安全性能的真实数据。C高级管理人员和董事会一直在询问与安全经理风险暴露有关的问题——“我们需要多少高水平的安全？满足合规要求还有多远？”——CISO基于战略目标基于战略目标的云控制 *** ，并报告这些发现。

如果没有深入的风险和成本，以及高级官员实际关心的其他信息安全测量仪表板，那么如何正确测量云上的安全运行和维护呢？

慢但坚定，IT该部门正在调整安全控制（文档过程）和架构模型，以适应公共和私有云环境中的信息系统。随着预防、检测和响应控制进入混合云模型，CISO为了内部跟踪和服务水平协议，我们必须考虑云中的控制和新的信息安全测量标准(SLA)。

有一些监控活动，信息安全测量基本上在内部数据中心和云中。机会是引入云环境的安全工具可以捕获大量相同的数据，并提供当前收集的任何信息安全测量。例如，虚拟防火墙设备日志丢弃或堵塞连接；基于云的漏洞扫描可以报告基础设施、服务系统、补丁和暴露状态；基于主机的安全监控工具记录文件的访问和配置。

新的InfoSec云度量

但，CISO必须更加关注云中的性能指标和SLA相关测量。这意味着安全团队需要研究与云安全(云运维)相关的新测量。如果自动预配和Chef，Puppet这种安排工具可以一起收集实例生成和情况评估日志。该事件适用于管理活动、密码工具和密钥的使用和访问，以及批准配置的变形，以确定云供应商的安全情况。重要的信息安全测量包括以下内容：

               
• 管理登录云供应商控制台的次数
               
• 云环境里超过特定时间一直不活跃的“孤儿”账号数量
               
• 启动系统数量vs超过定义时间的系统数量(即一段时间后仍在运行的系统)
               
• 使用批准配置的系统数量vs未使用批准配置的系统数量

缺乏技术控制

高级安全管理还需要监控云供应商的合同义务、法律和供应链。一系列通常在每个供应商的合同中定义SLA，从标准操作和维护能力（在线时间和性能）到安全相关需求（事件响应时间、法律或验证请求）。一些云供应商可能有义务满足数据生命周期的需求，如数据保留、合法持有电子邮件信息和响应设备和证据的生产和销售监管链验证需求。

必须密切跟踪这些合同义务，并向运维和执行管理层报告。还必须仔细监控和报告云供应商审计的任何变化和验证报告。如果供应商SOC 2报告中控制声明的重大变更是相关的，必须由安全和法律团队公告和评估。

虽然云服务花费更多地和运维以及开发团队相关，大多数成熟的部署现在也包括很多安全相关的费用。花费包括由安全技术导致的额外消耗到和“云上”与工具和产品相关的许可证，以及类似于云访问安全 *** 的新服务。成本还可能包括认证和加密服务，以及其他为这些环境提供控制的云服务。安全团队不能忽视云使用的财务和预算，因为信息安全控制和服务现在是部署和运行维护中不可或缺的一部分。云测量可能包括随时间产生的成本和预算、不可预见的变化（可能是积极的或消极的）以及云上的成本vs当地整体安全预算的百分比。

模型还不成熟

另一个需要跟踪的重要领域是云安全项目的整体成熟度。所有企业都想知道他们的表现如何与业内其他公司相比。此外，该领域还缺乏这一类别的比较基准。我们需要从哪里开始。

大多数安全团队使用类似的控制框架，如国家标准技术局 800-53(National Institute of Standards and Technology (NIST) 800-53)，NIST *** 安全框架、云安全联盟云控制度量与传统成熟模型相结合，如通用成熟模型。从任何角度来看，这都不是什么***但至少企业可以将当地控制的成熟度与云进行比较，并研究可以改进的领域。目前，云上的一些控制 *** 还不是很成熟。等待云供应商提高其能力，等待云环境中的本地集成更加稳定。

无论您选择哪种云测量，您都需要确保收集反馈，并确认它们是否真的对利益相关者有用。高级安全管理趋势报告超级复杂的信息安全测量，或者只是未整理的数据，对业务高管没有用处。这是我们在云上有意识地阻止的坏趋势。

关注真正重要的事情：改善安全控制状态，发现过程或战略弱点，修复，报告费用，满足合规需求和成熟目标。关注这些领域，你会收获很多。