为什么持续云安全应该是开发人员旅程的一部分？

1、云计算并不总是安全的代名词。然而，尽管有些人担心云在早期不如数据中心安全，但现在云被认为是最关键业务功能的有用且安全的解决方案。尽管一些最早采用它的人可能对安全性不屑一顾，但现在情况已经不同了。最新一代云计算进入者主要在金融和政府部门运营，这意味着安全和合规是他们议程上的重中之重。

2、近年来，一系列影响消费者的重大数据泄露事件也加速了人们对云安全的担忧。法律比以往任何时候都更加重视安全。尤其是欧洲引入GDPR后，对企业采取了严格的监管措施，企业要么效仿，要么直接面对后果。

3、然而，虽然企业的开发运营部门已经基本接受了云的动态世界，但它对安全团队提出了一系列新的挑战。他们不再使用他们可以像以前一样仔细评估和管理的受控环境。相反，由于云平台和应用程序代码的紧密集成，开发团队现在必须将安全需求纳入其代码本身，才能在平台中实现。

4、由于云平台通常每天都在变化，因此配置错误的潜在风险非常高。根据Gartner的分析，到2020年，80%的云漏洞将归因于客户配置不当、凭据管理不善或内部盗窃，而不是云提供商的漏洞。

5、现在有一些解决方案可以帮助安全团队应对这些挑战。这些解决方案允许他们为云环境定义策略(PCI-DSS、CIS、NIST、HIPAA)，然后以简洁的方式将其呈现给开发团队。

6、减少维护安全策略的不必要成本可以极大地帮助组织。它减少了误解的风险，减少了人为错误的空间，并允许开发团队在安全团队设置的护栏中安全地工作。这意味着他们通常不需要知道云平台的最新变化及其与书面安全策略的对应关系。它们没有安全角色，可以在不涉及策略页面的情况下进行编码。

7、在我的组织中，我们面临着这一挑战。我们发现现有的多云环境工具很差，缺乏任何补救措施。为了解决这些差距，我们创建了一个名为云安全卫士(CSG)的解决方案，现在我们的工作流程遵循一个定义明确的模式：

8、部署：创建新的Azure订阅或AWS帐户

9、权限：创建IAM控件并将其提供给安全团队，以允许他们配置CSG来检查新环境。

10、定义：安全团队可以创建或应用他们需要云解决方案来满足的合规性策略。随着环境的扩展或法规遵从性要求的发展，这种情况很容易改变。

11、构建：开发团队现在可以开始将云部署部署到环境中。对于这些初始函数，开发人员可以关注这些函数，因为它们将被实时评估。

12、消耗：通过API查询CSG，找出新部署与安全策略不匹配的确切位置。如果部署完全匹配，那么您现在可以使用报告来证明这一点。

13、补救措施：如果至少有一件事需要补救，可以使用另一个快速呼叫来解决违规。然后，您可以将纠正后的模板拉回到repo中，或者API可以提供JSON进行独立集成。(喜欢GUI的人可以从GUI查看告警并修复)

14、报告：随着项目的进展，报告可以与利益相关者共享。事实证明，这些在执行风险分析时非常有价值，并且有助于sprint计划，因为它们显示了应该注意哪些方面。

15、对于开发人员来说，这个过程提供了关于整个集成周期的信息。它可以指出烟雾中的风险，在UAT进行快速补救，或提供定期验证。一旦投入生产，就可以交给运营团队来监控手动更改或配置偏差。

16、当然，安全团队也可以使用这个工具。它使他们能够立即了解所有云环境的安全性，并密切关注短期环境，以评估他们可能面临的风险。一旦安全团队可以查看系统的整个基础架构，他们就可以轻松地看到其组件是如何相互连接的，并识别其弱点。

17、它允许安全团队在进行公司范围的安全实践审核时，在任何给定的时间点快速报告合规性状态。它还为他们提供了完整的审计线索。您可以实时监控对系统所做的每一项更改，并在出现任何不合规情况时向Slack、Sumo Logic或电子邮件发送警报。

18、让持续安全成为云生命周期的一部分可以让公司的安全和开发团队受益。它允许他们作为一个联合实体运行云环境，并使用最适合每个团队的方法来管理他们的法规遵从性要求。