第 3 章. 云资产管理和保护

至此，您应该对所拥有的数据、数据的存储位置以及计划如何对数据进行静态保护有了很好的了解。现在该看看其他云资产以及如何清点和保护它们了。

如第 2 章所述，云提供商会保留一份您已配置的资产清单，因为他们希望能够向您收费。云提供商还提供 API 来查看该列表，有时还提供专门的应用程序来帮助您进行库存和资产管理。

Cloud 基础设施和服务通常成本低廉，易于配置，这可能会迅速导致大量资产散落在世界各地，并被遗忘。这些被遗忘的资产就像一颗颗定时炸弹，随时都有可能引发安全事故。

与传统 IT 的区别

与云资产管理和保护的一个重要区别是，您通常完全不必担心云环境的物理资产或保护问题。您可以高高兴兴地将物理资产标签、防尾随、板对板屏障、数据中心 Windows 的布置、摄像头以及其他物理安全和物理资产跟踪控制外包出去。

另一个重要区别在于 IT 小组参与云资产的配置过程。 在传统的 IT 环境中，创建服务器等资产通常既困难又耗时。通常需要到集中的 IT 小组，该小组将遵循详细的配置流程，并在数据库或电子表格中维护资产列表。创建影子 IT（隐藏或未正式批准使用的 IT 资源）存在天然的障碍，因为 IT 通常需要资本资产。在大多数组织中，大额资本支出都受到严格控制。

云计算的一个重要好处是用月度支出取代了这些大额资本支出，并将容量规划工作卸给了 IaaS 提供商。这固然很好，但也意味着企业的 IT 和财务部门更难成为 IT 资源的有效把关人。企业任何部门的任何人只需一张信用卡（有时甚至不是信用卡），就能轻松提供大量 IT 资源。这很快就会导致资产管理问题。

在云时代到来之前，大多数组织都存在一定数量的影子 IT。在云时代，这个问题往往要严重得多，而且资产不仅仅是服务器。

云资产类型

在有效管理云资产之前，我们需要了解它们是什么以及它们与安全相关的特性。我发现，创建明确定义的资产类别有助于整理我的思路。为此，我将云资产分为计算资产、存储资产和网络资产，但您也可以选择不同的类别。

每天都会产生更多类型的云资产，您很可能不会拥有所有这些类型的资产。 您也不需要在一个地方跟踪所有这些资产。重要的是了解与您的安全相关的所有资产。

如果您所处的环境中有大量现有云资产，请记住，您不必立即拥有一个完全全面的资产管理解决方案。将注意力集中在与安全最相关的资产上，以获得直接价值，然后逐步将其他类型的资产添加到您的库存中。对于许多组织而言，与安全最相关的资产将是几类数据存储和计算资产。

当您阅读云资产类型时，记下您所知道的资产类型，并在与安全最相关的资产旁边打上星 号，可能会有所帮助。尽管本章主要涉及资产管理，但这些资产的某些安全属性可能会为您当前或未来的云环境设计提供参考。在本章的第二部分，我将分享一些关于如何清点您在此确定的云资产类型的想法。

备注

许多云资产都是短暂的，因为它们创建和删除的频率相当高。这会增加资产管理的难度，也会使一些常用的资产跟踪方法（如通过 IP 地址跟踪）失效。

计算资产

计算资产通常是获取数据、处理数据并对结果进行处理。例如，一个非常简单的计算资源可能会从数据库中获取数据，并根据要求将其发送到网络浏览器，或发送给业务合作伙伴，或将其与另一个数据库中的数据结合起来。 ...