一年之计在于春,眼看2023年第一季度即将过半,作为网络安全人士,是时候立下一些自我迭代的Flag了。

云安全是各大研究机构一致看好的增速最快的网络安全细分市场,我们此前介绍过“最热门的云安全认证”。本文,我们将介绍三个2023年最重要的云安全技能,供广大网络安全人士参考。

一、基础架构即代码

如果您的企业依赖云端环境,那就绕不开IaC(基础设施即代码),这也会是你的刚需技能之一。

IaC简单来说,就是在代码模板中定义基础设施,然后由云服务商处理并转换为云中的实际基础设施。

例如,下面这样的几行代码就可以在云中启动一个完整的服务器。

IaC可实现所需的自动化,因为在云环境中没有人会通过管理界面配置数百台服务器,更多是使用IaC模板,如Cloudformation或Terraform之类。

IaC还有许多安全优势,例如完全可见性、代码审查和不变性。

大多数云安全专家都懒得学习IaC,结果错过了早期检测到的许多安全问题。因此,不要过度依赖第三方工具,学会自己阅读IaC模板。

如果你打算认真学习IaC,那么我建议从Terraform基础知识开始,它可以在任何云环境中使用。(参考:

https://developer.hashicorp.com/terraform/tutorials

二、无服务器

通俗来说,无服务器(Serverless)可以看作是增强版云服务,可以帮助CIO忘记对底层操作系统或运行时环境的担忧,而专注于交付应用程序。

无服务器也是一种对环境进行完全抽象的执行模型,只有代码可以运行(所以安全!)。

在无服务器模型中,没有要修补或扫描的服务器,也没有要保护的网络边界,所有安全权重落在应用程序代码上。

令人惊讶的是,今天依然有大量云安全人员并不了解无服务器功能,更谈不上维护。

一些所谓的云安全专家甚至无法在无服务器环境中编写一个简单的“Hello World”函数。这个问题必须尽快解决,否则专家们最终将在新的云运营模式中迷失方向。

上图:一个简单的AWS无服务器函数

你可以尝试编写一些简单的无服务器函数并掌握这个新模型。

记住,您无需成为编码大师即可掌握无服务器。

掌握无服务器技能将助您在竞争中脱颖而出,并为安全自动化时代做好准备。

三、安全自动化

安全自动化技能建立在前一项无服务器技能的基础上,因为相对本地部署,自动化是云的关键优势之一。

一旦你意识到可以让服务相互通信,你就可以在云中轻松创建完整的工作流,而无需任何人工参与。

虽然你也可以在本地进行自动化,但云的易用性和强大功能有着巨大优势。

了解云事件如何发生,并编写一些无服务器函数来响应它们,你可以实现对云安全事件的自动响应。

无服务器和自动化可以看作是云端的24/7全天候安全分析师,随时响应安全事件。

例如,下面这个工作流程仅使用本地AWS服务编排创建了一个完整的安全事件响应工作流程,而没有用到任何第三方解决方案!

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。