安全風險識別和檢測包含以下4個維度,通過梳理企業客戶上雲面臨的整體風險,才能有針對性的對安全架構進行建議、檢測和建設。
基礎架構的風險識別和檢測:雲上基礎架構包含了網路架構和身份體系,要評估和識別當前網路的架構設計方法,是否符合安全最小化原則和縱深防禦原則;
雲平台配置風險識別和檢測:企業使用雲產品建立的設定檔是否符合安全原則,需要進行識別和自動化檢測,可雲端式安全最佳實務和行業合規要求建立符合企業自身的“雲安全基準”也被稱之為“baseline”,通過標準識別和檢測上雲風險;
資產脆弱性的風險識別和檢測:雲上的資產可分為工作負載(ECS、Kubernetes、容器、Serverless)、基礎網元(EIP、NAT、SLB等)、應用(PaaS服務、網域名稱、鏡像等),面對資產的脆弱性(包含資產基準和資產漏洞)應該進行事前的風險識別和檢測,並進行維護;
合規風險的識別:合規包含了外部合規和內部合規。外部合規指的是面向監管的合規,內部合規指的是面向內部審計、管理的合規。