云安全问题（第2部分）：从何处下手

上周，我们发布了两部分文章的第1部分，介绍公司可以采用低悬挂的最佳安全方法来改善他们的安全状况。由于安全不再仅仅是安全专家的领域，因此公司中的每个人不管身居何职、角色如何，都应该参与进来，一起维护安全。

这一系列文章的宗旨是为了给公司或者组织提供一个安全之旅的“起点”，通过识别可以实现的低悬挂方法来逐步提高安全性。在第1部分中，我们详细地讲解了推荐的四种安全工具和服务，在这篇文章中，我们将会给出下一组建议，这些建议可以让您在安全性方面更上一层楼。

所有企业应该实施的另外四项安全措施

5.安全培训

如果您的员工不明白如何使用或为什么使用这些安全协议，那么实施双重身份验证（2FA）和电子邮件加密等安全协议并不会有很好的效果。如果没有经过适当的培训，员工可能会有意或无意地避开您所采取的预防措施。

为了确保您的团队充分了解他们应该维护的各种安全实践的原因和方式，我们建议您组织一个团队范围内的安全培训课程，以了解到目前为止您所做的一切安排。尽量让这次培训课程充满乐趣、提高交互性和积极性，确保您和您的团队成员都参与到其中。

在第一次会议之后，要制定一个持续进行的、适合您的团队的培训计划（我们建议每个月或每个季度一次）。它可以是一个30分钟的便当午餐谈话邀请，或者是一个精心准备过的半天会议。您只要充分考虑到每个团队成员的时间安排，会议内容只讲解他们真正需要知道的、该做的，不需要讲授全部的繁文缛节。

网络钓鱼是安全培训中一个很好的开端话题，这也是目前常见的一种安全威胁。培训中您可以解释什么是网络钓鱼，网络钓鱼如何发起攻击，您已经部署、采用的安全工具（如2FA和加密软件）如何拦截网络攻击，以及在安全程序结束拦截任务之后，员工应该怎样采取措施来提高网络安全性。

6.强化配置管理

走进一个现代化的运营管理团队里，看不到像Puppet，Chef或Ansible这样的配置管理（CM）系统来驱动基础设备，这种情况是很少见的。正如我们在以前的文章中所阐述的那样，CM软件直接支持DevOps将基础架构视为代码的概念。虽然CM发挥着巨大的力量，但这也意味着它要承担更大的责任。

由于CM的本质是在基础架构上执行任意代码，因此需要采取措施加强系统安全性来保护敏感数据。您可以使用像chef-vault这样的工具，它使用公钥对敏感数据进行加密，或者使用文件完整性监视，这样可以查看未经授权的服务何时触及磁盘上的秘密。如果您已经按照第1部分中的建议实施了此操作，您可以再另行检查一次。

7.确保安全进入生产

实施持续交付和敏捷开发的团队通常会为开发人员提供访问权限，以便更快地发布更新功能和新产品。在一个信任但又需要验证身份的世界里，你需要采取某些安全措施，以确保漏洞不会疯狂出现，并且开发人员也应该采取相应的安全措施

要做到这一点，您应该监视诸如软件包安装和更新等事件，以确保只有您的CM系统管理着主机。跟踪、监视配置在您的系统上的代码是一件很重要的事情，这样能确保用户不在主机上手动安装软件包，引发未知的安全问题。

如果您有时间进行配置和管理，有一些类似OSSEC和auditd的开源软件，更好的是像Threat Stack（威胁堆栈）这样的工具可以为您处理配置和持续监控。无论哪种方式，关键是要在生产服务器上尽早地开展监控活动，因为这毫无疑问是您最关键的基础设施级别之一。

8.安全警报

一旦发现异常，你需要一个警报系统来通知你。无论是一个位于俄罗斯的IP地址在凌晨2点异常登录生产服务器，还是在生产环境中不知不觉地产生了一个漏洞，你不仅需要知道，还需要更快地知道。

Threat Stack（威胁堆栈）不仅会在检测到异常行为的时候通知您的团队，它还可帮助团队定制安全警报的严重程度，以便只有高度严重性警报才会在晚上发送给值班的开发人员，而严重性较低的警报则只需在工作时间内处理。

把安全组件连在一起

在这个由两部分组成的系列文章中，如果您一直关注我们推荐的安全实践方法，您现在可以开始了解安全性如何自我构建。在这一点上，您需要一种能通过一个单一的控制面板来跟踪您所有的安全措施和系统活动的方法，而不必登录到各种单独的工具，然后将信息拼凑在一起。