一項行業(yè)調查顯示,許多企業(yè)都需要注意安全問題,而不是將任務交給云提供商。云安全聯(lián)盟對241名行業(yè)專家進行了調查,發(fā)現(xiàn)了一個“令人震驚的”云安全問題。
該調查的作者指出,今年許多安全問題都將安全責任指向了用戶企業(yè),而不是依賴于服務提供商。我們注意到,傳統(tǒng)云服務提供商在云安全問題上的排名有所下降。諸如拒絕服務、共享技術漏洞、CSP數(shù)據(jù)丟失和系統(tǒng)漏洞等問題,這些在以前都是受關注頗高的安全問題,現(xiàn)在的排名則有所下降。這些表明CSP負責的傳統(tǒng)安全問題似乎不那么令人擔憂。相反,我們看到了更多需要解決高級管理層決策所帶來的技術堆棧更高的安全問題。
云服務有這么多安全問題,誰來解決?
這與ForbesInsights和VMware最近的另一項調查結果一致,該調查發(fā)現(xiàn),部分公司正在極力避免將安全措施移交給云提供商,只有31%的領導者表示將安全措施移交給云提供商。盡管如此,94%的公司在某些安全方面采用了云服務。
CSA的最新報告強調了今年的主要安全問題:
1.數(shù)據(jù)泄露。報告的作者指出,數(shù)據(jù)正成為網(wǎng)絡攻擊的主要目標。定義數(shù)據(jù)的業(yè)務價值及其損失的影響對于擁有或處理數(shù)據(jù)的企業(yè)非常重要。此外,他們補充稱,保護數(shù)據(jù)正演變成誰有權訪問數(shù)據(jù)的問題。加密技術可以幫助保護數(shù)據(jù),但會對系統(tǒng)性能產(chǎn)生負面影響,同時降低應用程序的用戶友好度。
2.配置錯誤和變更控制不足?;谠频馁Y源非常復雜和動態(tài),使得配置具有挑戰(zhàn)性。傳統(tǒng)控制和變更管理方法在云中無效。公司應該采用自動化技術,并采用能夠持續(xù)掃描錯誤配置資源并實時修復問題的技術。
3.缺乏云安全架構和策略。確保安全架構與業(yè)務目標和目標保持一致。開發(fā)并實施安全架構框架。
4.身份、憑據(jù)、訪問和密鑰管理不足。安全帳戶包括雙因素身份驗證和有限的根帳戶使用。對云用戶和身份實行最嚴格的身份和訪問控制。
5.賬戶劫持。這是一個必須認真對待的威脅。深度防御和IAM控制是減少賬戶劫持的關鍵。
6.內(nèi)部威脅。采取措施盡量減少內(nèi)部疏忽,有助于減輕內(nèi)部威脅的后果。為您的安全團隊提供培訓,以便正確安裝、配置和監(jiān)視您的計算機系統(tǒng)、網(wǎng)絡、移動設備和備份設備。CSA還敦促“定期的員工培訓意識”。為你的正式員工提供培訓,告訴他們?nèi)绾翁幚戆踩L險,比如網(wǎng)絡釣魚,以及保護他們在公司外部筆記本電腦和移動設備上攜帶的公司數(shù)據(jù)。
7.不安全的接口和API。保證良好的API。良好的做法包括對庫存、測試、審核和異?;顒颖Wo等項目進行認真的監(jiān)督。此外,考慮使用標準和開放的API框架(例如,開放式云計算接口(OCCI)和云基礎設施管理接口(CIMI))。
8.弱控制平面。企業(yè)應該進行詳盡的調查,并確定他們打算使用的云服務是否擁有足夠的控制平面。
9.元結構和應用結構故障。云服務提供商必須提供可見性和公開緩解措施,以抵消租戶對云的固有缺乏透明性。所有csp都應進行滲透測試,并向客戶提供結果。
10.有限的云使用可視性。降低風險始于從上到下開發(fā)完整的云可見性工作。要求全公司范圍內(nèi)培訓公認的云使用策略及其實施。所有未經(jīng)批準的云服務都必須經(jīng)過云安全架構師或第三方風險管理人員的審核和批準。
11.濫用和惡意使用云服務。企業(yè)應該監(jiān)控他們安排云方面工作的員工,因為傳統(tǒng)機制無法減輕云服務使用帶來的風險。