在云端,财务效率和强大的安全性是两个关键优先事项。打破财务运营和网络团队之间的孤岛可以带来显而易见的协同效应。
对于在云上运营的企业来说,安全性和成本管理正在成为日益严重的问题。
通常情况下,这些问题都是各自为政,网络团队和FinOps【FinOps是一种云财务管理学科和文化实践,它结合了Finance(财务)和DevOps(开发运维)的概念,目的是在云计算环境中实现成本的可预测性、透明度和责任性】团队分别追求他们的章程和优先事项——并且很少考虑这些团队之间可以利用的合作机会,以获得更好的业务成果。
随着CIO寻求更好地控制其云支出和安全,这些团队是时候更紧密地合作了。这可能具有挑战性,因为CISO(首席安全官)和FinOps(财务运营)团队通常不属于同一报告结构,这可能会阻碍某些企业文化中的协作,尤其是在安全孤立运作的企业文化中。
此外,这些团队的运营之间存在工具、流程和数据实践差异,需要解决这些差异才能释放他们的合作对企业整体云战略的潜力。
例如,从技术角度来看,CSPM(云安全态势管理)和CWPP(云工作负载保护平台)充满了可以帮助FinOps团队的数据,除了它们已经为安全团队所做的工作之外。同样,云成本管理平台和其他FinOps工具也拥有安全团队可以利用的数据来发出警报和报告。
以下是将安全性与FinOps操作相结合的11条技巧,以实现更安全、更注重成本的云管理方法。
一、建立共享报告和分析
集成安全和云成本管理工具的第一步是建立共享报告和分析功能,将安全和成本指标统一到一个仪表板上。将这些数据整合在一起,您的团队可以分析安全策略的财务影响,并跟踪与您的FinOps和安全目标相符的关键绩效指标。
一个例子是将AWS Cost Explorer【AWS Cost Explorer是亚马逊云科技(AWS)提供的一款成本管理服务工具。它允许用户可视化、理解和管理随时间变化的AWS成本和使用情况】与其他AWS安全服务集成,以提供有关安全性和云指标的综合见解。构建仪表板的其他选项包括Azure Monitor(Azure Monitor是微软Azure提供的一个全面的监控解决方案,用于收集、分析和响应来自云和本地环境的遥测数据。它可以帮助用户最大程度地提高应用程序和服务的可用性和性能)或开源工具,例如Grafana(Grafana是一个开源的分析和监控平台,用于可视化时间序列数据。它通常用于监控和分析来自各种数据源的度量指标,如服务器、数据库和应用程序)或Kibana(Kibana是一款开源的数据分析和可视化平台。它提供了一个基于浏览器的界面,使用户能够快速创建和分享动态数据仪表板来追踪 Elasticsearch 的实时数据变化)。这种综合见解可能包括:
合规状态指标可衡量您的环境遵守行业合规标准的程度
资源利用率,用于捕获过度利用和未充分利用的资源
云支出差异(主要是FinOps指标)用于检查成本差异与预算之间的差异,这也可能产生安全隐患
二、集成监控工具
通过集成FinOps和安全监控工具,进一步实现共享报告,您不仅可以更全面地了解云操作,还可以创建警报以造福FinOps和安全部门。
例如,不寻常的消费模式可能表明存在安全漏洞,如加密货币挖掘或拒绝钱包攻击。监控成本异常和安全事件使您的组织能够更好地将成本峰值与潜在的安全事件关联起来,从而更快地采取补救措施。
三、自动修复
作为解决成本和安全问题的集成策略,自动修复具有新的重要性。自动关闭或优化未充分利用的资源、应用安全补丁和更新以减少漏洞以及对已配置的资源实施加密和其他安全控制现在具有双重目的,不再严格属于安全领域。
FinOps实践可以帮助网络安全团队推动或验证减少攻击面的需要,从而最大限度地减少潜在的漏洞。
四、寻找CMP和K8s管理工具
安全性和FinOps之间的另一个关键技术层是CMP(云管理平台)。CMP初创公司Cloudbolt(CloudBolt是一家成立于2012年的初创公司,专注于开发混合云管理平台。该公司的解决方案旨在帮助IT公司配置和管理私有云及公有云资源)的CTO Kyle Campos(凯尔·坎波斯)【Kyle Campos(凯尔·坎波斯)是CloudBolt的首席技术官,负责推动公司的全球工程和创新。他是一位拥有25年经验的技术老将,擅长构建可扩展、敏捷且实用的开发项目】强调了第一天部署蓝图和偏差检测的重要性,并指出CMP为云和安全团队提供了可操作的见解,尤其是配置数据。
Cast AI(Cast AI 是一家提供多云服务平台的初创公司,专注于通过人工智能技术帮助企业优化和管理云成本。该公司的平台利用机器学习算法自动化Kubernetes集群的优化,以提高云资源的利用率并显著降低云支出)是一个具有云和Kubernetes成本管理功能的Kubernetes【Kubernetes(常简称为K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序】自动化平台,它通过推出基于其当前平台的全新Kubernetes安全态势管理(KSPM) 解决方案,正面应对FinOps和安全集成讨论。Cast AI联合创始人兼首席产品官Laurent Gil(洛朗·吉尔)【Laurent Gil(洛朗·吉尔)是一位经验丰富的技术专家和企业家,在云计算和网络安全领域有着显著的成就。他是Cast AI的联合创始人兼首席产品官(CPO),这是一家提供多云管理平台的公司,专注于帮助组织在多个云服务提供商中部署、运营和优化Kubernetes应用程序的成本】表示,这样的解决方案可帮助团队从“同一个盒子”管理成本和安全性。
Gil(吉尔)还强烈提倡通过自动化提高效率,这很有道理,因为在会议和Zoom(Zoom是一家提供远程会议服务的公司,其核心产品是同名的Zoom视频会议软件。该软件支持视频通话、在线会议、聊天和移动协作,适用于各种设备,包括移动设备、桌面设备、电话和会议室系统)通话中,安全团队的人数通常比FinOps团队成员多。CMP和K8管理工具的自动化可实现定期节点轮换和其他操作任务,并且可以在不停机的情况下显著减少漏洞,从而使两个团队可以腾出时间进行更具战略性的工作。
五、标准化标记以统一报告
如上所述,FinOps团队通常规模较小;因此,改进团队异步访问数据和使用通用词汇进行交流的方式至关重要。Cloudbolt的Campos(坎波斯)表示,一个值得关注的领域是标记分类法。
他说,要真正实现协作,安全和FinOps团队必须在分类标准化方面达成一致,直至云工作负载。这种标准化使两个团队能够查看相同的报告、警报和响应模式。
根据Campos(坎波斯)的经验,组织孤岛首先体现在数据结构中,然后渗透到行为和缺乏沟通中,这通常会导致工作在不知情的情况下重叠。此外,与FinOps工具相比,安全工具通常可以更早地检测到问题,而FinOps工具通常会延迟数据可见性,Campos(坎波斯)说。更有理由让安全和FinOps团队达成共识,使用相同的词汇,以确保他们能够利用彼此的工作和工具,使整个企业受益。
六、开发协作的共同语言
深入研究通用词汇的主题,CMP为您的组织提供了在安全和FinOps团队之间创建通用语言的基础,因为它们同时提供安全性和成本洞察。
创建通用语言的其他步骤包括:
在内部开发和发布共享词汇表,定义和记录与云安全和FinOps相关的关键术语和概念
确定有利于安全和成本优化的共同目标,并制定适用于这两种考虑因素的 KPI
七、交叉培训你的团队
进行交叉培训,无论是安全和FinOps团队之间的非正式知识共享会议,还是对追求行业认证的团队提供的全方位公司支持,都是提高团队协作和绩效的另一种方法。
当然,要说服安全团队成员参加FinOps认证从业者培训,需要参与者愿意参与。但优先事项和激励措施有助于激励培训,就像计费工作和人员配备水平等业务考虑因素也会影响培训策略一样。
八、建立跨职能云 CoE
Aqua(Aqua Strategy公司是一家提供水资源策略洞察和信息的机构,旨在帮助各类组织在变化的世界中成功制定和实施水资源策略。该公司提供的服务涵盖了构建成功水策略所需的主要主题,包括推动水行动和投资的问题与法规、应对这些问题和法规的技术和方法,以及创新策略)战略高级副总裁Rani Osnat(拉尼·奥斯纳特)【Rani Osnat(拉尼·奥斯纳特)是Aqua公司的高级副总裁,他强调了建立一个跨职能的云卓越中心(Cloud Center of Excellence)的重要性,这个中心可以包括云安全、FinOps、云管理员以及DevOps或基础设施经理等角色。他们可以共同工作或至少定期会面,以提高对云部署的整体意识,因为云部署涉及到安全和财务方面的影响】指出,许多公司都建立了“云卓越中心,或某种跨职能云团队,让云安全、FinOps、云管理员和DevOps或基础设施经理坐在一起或至少偶尔会面。”他强调提高对云部署的整体认识非常重要,因为无论哪种方式都涉及安全和财务问题。
您的云CoE可以协作设计和开发集成云安全和财务方面的报告,以促进共识。以下是一些示例:
设计显示安全措施的财务影响的报告
创建显示安全态势和成本指标的仪表板
定期在联席会议上审查这些报告,讨论影响和行动
九、通过DevOps进行协作——或者不
虽然Campos(坎波斯)淡化了DevOps在安全和FinOps团队协作方面的作用,但Cast AI的Gil(吉尔)却支持DevSecOps【DevSecOps是一种将安全(Security)实践集成到开发(Development)和运维(Operations)流程中的方法论。它是对DevOps文化的扩展,DevOps本身是一种强调软件开发(Dev)和信息技术运维(Ops)之间沟通合作的文化、运动或惯例】,以实现FinOps和安全团队协作,以平衡成本和安全性。
Campos(坎波斯)进一步建议,FinOps团队应以高杠杆为目标,让少数员工对整个组织产生重大影响。他的建议是尝试使用自动化以及其他工具和策略来扩大FinOps数据的覆盖范围,例如改进报告。DevOps团队精通自动化,可能会在这里提供帮助,因为这是在构思或实施阶段。
十、将安全视为一项业务
FinOps基金会(FinOps基金会是一个专注于云成本管理和优化的非营利性组织,它致力于通过最佳实践、教育和标准来推进实施云成本管理的专业人士的能力)FinOps负责人Rob Martin(罗布·马丁)【Rob Martin(罗布·马丁)在FinOps基金会担任FinOps主管。他是一位经验丰富的云财务管理专家,专注于帮助组织优化他们的云成本和资源使用,他致力于推广FinOps最佳实践,并通过教育、培训和社区活动来支持云财务管理专业人士的发展】建议将安全视为组织的业务线。“安全团队或CISO组织通常不被视为公司必须做的产品。这是我们投资的产品。我们期待结果,但我们可能不期待财务结果。”
“过去几年,FinOps基金会一直在投资的一个重要领域是FinOps开放成本和使用规范(FOCUS),”Martin(马丁)补充道。“这个开源项目对从业者社区来说意义重大,四大云平台已经在以FOCUS格式生成数据,使公司能够更轻松地规范其成本和使用数据以支持FinOps实践。”网络安全现在是最新FOCUS版本中的盟友角色。
Martin(马丁)表示:“从安全的角度考虑,这可能是云资源和使用数据一致性视图将使安全团队受益的另一个方面。”例如,团队可以查询联合数据湖,并随着时间的推移看到数据更加一致,甚至来自SaaS产品或其他数据源,因为FOCUS【FOCUS是FinOps开放成本和使用规范(FinOps Open Cost and Usage Standard)的缩写】并不特定于云,而是适用于任何有计费数据可共享的人。
十一、采用自上而下的方式促进文化变革
FinOps和安全团队之间的协作可能具有挑战性,首先是因为FinOps实践较新,需要赶上大多数组织的网络安全实践。此外,云成本和技术的交集甚至会让最有经验的网络安全工程师或云解决方案架构师望而生畏,这使得团队之间的协作变得难以接受,需要高管的支持才能实现。
启动跨职能计划以使两个团队更紧密地合作通常需要CIO和CISO的支持。从那里开始,团队应该设定优先事项,以构建报告、标记和自动化,使两个团队能够访问新统一的数据。不要害怕迭代,因为这项工作可能会带来您的团队尚未能够集成到其工作流程中的新数据和信息。
Aqua公司的Osnat(奥斯纳特)表示:“真正平衡云成本和安全性需要认识到,从成本角度来看,其背后可能有安全原因,反之亦然。”他补充说,安全团队可能会对成本产生负面或正面的影响。如果安全团队可以做一些对云成本产生积极影响的事情,他们就应该宣传这一点,他说。
作者:Will Kelly(威尔·凯利)
译者:穿山甲
【睿观:将云端安全性与FinOps(云财务管理)紧密结合,可以显著提升云资源的管理效率,降低成本,并增强整体安全性。
建立共享报告和分析: 通过集成安全和云成本管理工具,将安全和成本指标统一到一个仪表板上,实现数据共享与分析。
集成监控工具: 通过集成FinOps和安全监控工具,实现更全面的云操作监控,并创建警报以应对潜在的安全威胁和成本异常。
自动修复: 自动化修复未充分利用的资源、应用安全补丁和更新等操作,可以同时降低成本和提高安全性。
利用CMP和K8s管理工具: CMP和K8s管理工具可以提供可操作的见解,帮助团队从“同一个盒子”管理成本和安全性。
标准化标记: 通过标准化标记分类法,使安全和FinOps团队能够查看相同的报告、警报和响应模式。
开发协作的共同语言: 创建共享词汇表,定义和记录关键术语,并制定共同目标和KPI。
交叉培训: 通过交叉培训,提高团队协作和绩效。
建立跨职能云CoE: 建立云卓越中心,促进不同角色之间的协作,提高对云部署的整体意识。
通过DevOps进行协作: 利用DevOps团队的自动化能力,扩大FinOps数据的覆盖范围。
将安全视为一项业务: 将安全视为组织的业务线,并利用FinOps开放成本和使用规范(FOCUS)等工具。
采用自上而下的方式促进文化变革: 获得高管支持,并设定优先事项,以构建报告、标记和自动化。
打破孤岛: 安全团队和FinOps团队需要打破各自为政的局面,加强合作。
数据驱动: 通过共享数据和建立统一的报告,实现数据驱动的决策。
自动化: 自动化是提高效率和降低成本的关键。
文化变革: 需要自上而下的支持和跨职能的协作来推动文化变革。
结论: 将安全性与FinOps紧密结合,不仅可以降低云成本,还可以提高安全性,实现更有效的云资源管理。通过建立共享报告、集成监控工具、自动化修复、标准化标记、开发共同语言、交叉培训、建立云CoE、利用DevOps、将安全视为一项业务以及采用自上而下的方式促进文化变革,企业可以实现更安全、更注重成本的云管理。】
