随着云的崛起,越来越多的企业应用程序、数据和流程也被包含在内,最终用户也有可能将他们的安全外包给供应商。
一项行业调查显示,许多企业都需要控制安全,而不是将最终责任交给云提供商。云安全联盟发布了对241名行业专家的调查,发现了一个“严重的”云安全问题。
该调查的作者指出,今年许多最紧迫的问题都将安全责任推给了终端用户公司,而不是依赖于服务提供商。“我们注意到,在云服务提供商的责任下,传统云安全问题的排名有所下降。诸如拒绝服务、共享技术漏洞、CSP数据丢失和系统漏洞——这些都在之前的“危险12”中出现过——现在评级很低,因此在本报告中被排除在外。这些遗漏表明,由CSP负责的传统安全问题似乎不太值得关注。相反,我们更需要解决技术堆栈高层的安全问题,这是高层管理决策的结果。”
这与Forbes Insights和VMware最近的另一项调查相一致,该调查发现,积极主动的公司抵制住了将安全问题交给云提供商的诱惑——只有31%的领导者报告将许多安全措施交给了云提供商。(我参与了调查报告的设计和撰写。)尽管如此,仍有94%的人在某些安全方面使用云服务。
最新的CSA报告强调了今年的主要问题:
1. 数据泄露。“数据正成为网络攻击的主要目标。”报告的作者指出。“定义数据的业务价值及其损失的影响对拥有或处理数据的组织至关重要。”此外,“保护数据正演变成谁能访问它的问题,”他们补充说。“加密技术可以保护数据,但会对系统性能产生负面影响,同时也会降低应用程序的用户友好性。”
2. 错误的配置和不适当的变更控制。“基于云的资源是高度复杂和动态的,使它们具有挑战性的配置。传统的控制和变更管理方法在云计算中是无效的。”作者指出,“公司应该拥抱自动化,并采用不断扫描错误配置资源并实时纠正问题的技术。”
3.缺乏云安全架构和策略。“确保安全架构与业务目标一致。开发和实现一个安全架构框架。”4. 身份、证书、访问和密钥管理不足。“安全帐户,包括双重身份验证和限制使用根帐户。对云用户和身份实施最严格的身份和访问控制。”5. 账户劫持。这是一个必须严肃对待的威胁。“深度防御和IAM控制是减轻账户劫持的关键。”6. 内部威胁。“采取措施尽量减少内部人员的疏忽,有助于减轻内部威胁的后果。为您的安全团队提供培训,以正确安装、配置和监控您的计算机系统、网络、移动设备和备份设备。”CSA的作者还敦促“定期培训员工的意识。为正式员工提供培训,告诉他们如何处理安全风险,比如网络钓鱼和保护他们在笔记本电脑和移动设备上携带的公司数据。”
7. 不安全的接口和api。“保持良好的API卫生。良好的实践包括勤奋的监督项目,如库存、测试、审计和异常活动保护。”此外,“考虑使用标准和开放的API框架(例如,开放云计算接口(OCCI)和云基础设施管理接口(CIMI))。”8. 弱控制飞机。“云客户应该进行尽职调查,确定他们打算使用的云服务是否拥有足够的控制平面。”9. 元结构和应用结构失效。“云服务提供商必须提供可见性并公开缓解措施,以抵消云对租户固有的透明度不足。所有csp都应进行渗透测试,并向客户提供结果。”10. 有限的云使用可见性。降低风险始于自上而下开发完整的云可见性工作。要求全公司对公认的云使用策略和实施进行培训。所有未经批准的云服务必须由云安全架构师或第三方风险管理部门审查和批准。”11. 滥用和恶意使用云服务。“企业应该在云中监控员工,因为传统机制无法减轻使用云服务带来的风险。”
