97 Things Every SRE Should Know-15
Table of Contents
Security Is like an Onion
安全就像一颗洋葱
您的公司正在实现梦想。你已经找到了产品与市场的契合点,销售额也在不断增长,上市或收购的想法也逐渐接近现实。有一天,领导团队请来了外部帮助来引导IPO的进程,对话是这样的:
顾问: 一切看起来都很好!跟我们说说你们的安全故事怎么样? 领导: 嗯,我们还没有被黑客攻击过,所以我想说这很好! 顾问: 你怎么知道你没有被黑?你的曝光率是多少? 领导: (思考ing)我会回复你的。
作为一名SRE,你的目标之一是指导安全控制,并自信地回答与风险管理有关的问题;但你应该从哪里开始呢?我喜欢NIST的网络安全框架(NIST’s CyberSecurity framework),即识别、保护、检测、响应和恢复。将其作为原样使用或作为您自己的安全之旅的基础。
确定在系统、数据和资产方面什么对业务连续性至关重要。一旦确定,通过问以下问题来评估与每个关注点相关的风险和实现理想状态所需的任何更改,例如:是什么阻止了人们与我们的托管数据中心的服务器进行交互? 我们该如何处理误放的笔记本电脑或手机?
首先,您需要熟悉设备加密和基本移动设备管理(mobile device management (MDM)),因为它可以提高你的安全性,而不会危及可用性。
不愉快的网络安全事件是生活的事实。保护功能就是在安全事件发生时进行限制或控制影响。关键是培训、连续性和供应链管理。确保每个人都经过了与身份管理、特权数据操作和远程访问相关的培训。为业务连续性和灾难恢复编制文件并进行控制。最后,对代码供应链实施保护措施,如代码扫描和使用第三方许可证。
一个好的检测系统应该是有层次的,每当一层出现故障时就会发出警报。检测系统最重要的特性是它的平均检测时间,这决定了你对网络安全事件的反应速度。目标是让异常和事件被检测出来,并了解其潜在影响。同样,一定要手动运行检测系统,验证其准确性。
“计划是没用的,但计划是必不可少的。”你将如何应对? 计划与即将发生或正在发生的网络安全事件相关的活动。你将如何确定攻击的爆炸半径?隔离攻击的损害呢?一个经常被遗忘的部分是确定需要通知事件的内部和外部沟通渠道。记得要考虑这些渠道是否会作为攻击的一部分而被破坏。
最后,恢复。生活总是向前发展的。这意味着我们需要思考如何从网络安全事件中恢复过来。这应该包括对事件的反思,并指导对框架的修改,以防止类似事件的发生,增加组织和客户的信心。对外,这意味着以事件回顾的形式写出来,以重新获得公众的信任。对内,你必须审查事件中做出的改变,以及它们对当前的演习手册、监控和检测系统的影响。
安全是一个旅程,永远不会完整。通过采用安全框架,您的团队将能够及时识别和应对事件。不断从以前的事件中学习,重新评估你的基线。网络安全的世界是广阔的,希望这能在这个旅程中帮助指导你!
我们如何构建本书的结构
SRE虽然涉及复杂的技术系统,但归根结底是一种文化实践。文化是人的产物,这启发我们根据你在组织中的SRE数量来组织本书的各个部分–你具体处理什么,你的一天是怎样的,取决于有多少个SRE工程师。我们将本书的文章分为 “SRE新手” 、0-1个SRE、1-10个SRE、10-100个SRE和 “SRE的未来 ”。
读者如果想找寻先从哪里开始的指导,可以直接跳到最适用于自己的部分;但是,你仍然会发现阅读那些目前并不适用于你日常的部分的文章的价值。
在0到1个SRE时,还没有人被指定为SRE,或者你已经找到了你的第一个SRE,这个角色看起来几乎是孤独的。
在1到10名SRE时,你正在组建一个团队,有知识共享和分工的能力。
在10到100个SRE时,你已经成为一个组织,你需要思考的不仅仅是你所从事的系统,还需要思考如何组织这么多SRE。
“SRE新手” 涵盖了基础性的话题(尽管并不详尽!),对于那些刚刚开始SRE之旅的人来说是很有帮助的,即使是最有经验的SRE,也是一种复习。 “SRE的未来” 包含了一些文章,这些文章探讨了SRE潜在的发展方向,或者是(目前)坐拥时代潮流。
没有必要按照任何特定的顺序阅读本书。你可以从头到尾读一遍。或者,如果你对某个特定的主题感到好奇,可以翻到索引,在那里你可以找到关于该主题的所有文章。把它作为参考指南,或者是灵感的来源–可以在需要的时候提供一个震撼。或者,也许可以建立一个阅读俱乐部,每周一次挑选一篇文章与同事讨论。这就是散文集的魅力所在。我们希望你和我们一样喜欢阅读它们。
结语
SRE系列的文章,有时间我就会翻译一些,希望大家能学到对自己有用的东西。谢谢