2023年最重要的三大云安全技能

一年之计在于春，眼看2023年第一季度即将过半，作为网络安全人士，是时候立下一些自我迭代的Flag了。

云安全是各大研究机构一致看好的增速最快的网络安全细分市场，我们此前介绍过“最热门的云安全认证”。本文，我们将介绍三个2023年最重要的云安全技能，供广大网络安全人士参考。

一、基础架构即代码

如果您的企业依赖云端环境，那就绕不开IaC（基础设施即代码），这也会是你的刚需技能之一。

IaC简单来说，就是在代码模板中定义基础设施，然后由云服务商处理并转换为云中的实际基础设施。

例如，下面这样的几行代码就可以在云中启动一个完整的服务器。

IaC可实现所需的自动化，因为在云环境中没有人会通过管理界面配置数百台服务器，更多是使用IaC模板，如Cloudformation或Terraform之类。

IaC还有许多安全优势，例如完全可见性、代码审查和不变性。

大多数云安全专家都懒得学习IaC，结果错过了早期检测到的许多安全问题。因此，不要过度依赖第三方工具，学会自己阅读IaC模板。

如果你打算认真学习IaC，那么我建议从Terraform基础知识开始，它可以在任何云环境中使用。（参考：

https://developer.hashicorp.com/terraform/tutorials）

二、无服务器

通俗来说，无服务器（Serverless）可以看作是增强版云服务，可以帮助CIO忘记对底层操作系统或运行时环境的担忧，而专注于交付应用程序。

无服务器也是一种对环境进行完全抽象的执行模型，只有代码可以运行（所以安全！）。

在无服务器模型中，没有要修补或扫描的服务器，也没有要保护的网络边界，所有安全权重落在应用程序代码上。

令人惊讶的是，今天依然有大量云安全人员并不了解无服务器功能，更谈不上维护。

一些所谓的云安全专家甚至无法在无服务器环境中编写一个简单的“Hello World”函数。这个问题必须尽快解决，否则专家们最终将在新的云运营模式中迷失方向。

上图：一个简单的AWS无服务器函数

你可以尝试编写一些简单的无服务器函数并掌握这个新模型。

记住，您无需成为编码大师即可掌握无服务器。

掌握无服务器技能将助您在竞争中脱颖而出，并为安全自动化时代做好准备。

三、安全自动化

安全自动化技能建立在前一项无服务器技能的基础上，因为相对本地部署，自动化是云的关键优势之一。

一旦你意识到可以让服务相互通信，你就可以在云中轻松创建完整的工作流，而无需任何人工参与。

虽然你也可以在本地进行自动化，但云的易用性和强大功能有着巨大优势。

了解云事件如何发生，并编写一些无服务器函数来响应它们，你可以实现对云安全事件的自动响应。

无服务器和自动化可以看作是云端的24/7全天候安全分析师，随时响应安全事件。

例如，下面这个工作流程仅使用本地AWS服务编排创建了一个完整的安全事件响应工作流程，而没有用到任何第三方解决方案！