余梁

一項(xiàng)行業(yè)調(diào)查顯示，許多企業(yè)都需要注意安全問(wèn)題，而不是將任務(wù)交給云提供商。云安全聯(lián)盟對(duì)241名行業(yè)專家進(jìn)行調(diào)查，發(fā)現(xiàn)了一個(gè)“令人震驚的”云安全問(wèn)題。

該調(diào)查的作者指出，2020年許多安全問(wèn)題都將安全責(zé)任指向了用戶企業(yè)，而不是依賴于服務(wù)提供商，傳統(tǒng)云服務(wù)提供商在云安全問(wèn)題上的排名有所下降。諸如拒絕服務(wù)、共享技術(shù)漏洞、CSP數(shù)據(jù)丟失以及系統(tǒng)漏洞等問(wèn)題，這些在以前都是受關(guān)注頗高的安全問(wèn)題，現(xiàn)在的排名則有所下降。這表明CSP負(fù)責(zé)的傳統(tǒng)安全問(wèn)題似乎不那么令人擔(dān)憂。相反，高級(jí)管理層決策所帶來(lái)的技術(shù)堆棧是更值得注意的安全問(wèn)題。

這與Forbes Insights和VMware最近的另一項(xiàng)調(diào)查結(jié)果一致，該調(diào)查發(fā)現(xiàn)，部分公司正在極力避免將安全措施移交給云提供商，只有31 %的領(lǐng)導(dǎo)者表示要將安全措施移交給云提供商。盡管如此，94 %的公司在某些安全方面采用了云服務(wù)。

CSA的最新報(bào)告強(qiáng)調(diào)了2020年的主要安全問(wèn)題

1.數(shù)據(jù)泄露

報(bào)告的作者指出，數(shù)據(jù)正成為網(wǎng)絡(luò)攻擊的主要目標(biāo)，定義數(shù)據(jù)的業(yè)務(wù)價(jià)值及其損失的影響對(duì)于擁有或處理數(shù)據(jù)的企業(yè)非常重要。此外，保護(hù)數(shù)據(jù)正演變成誰(shuí)有權(quán)訪問(wèn)數(shù)據(jù)的問(wèn)題。加密技術(shù)可以幫助保護(hù)數(shù)據(jù)，但會(huì)對(duì)系統(tǒng)性能產(chǎn)生負(fù)面影響，同時(shí)降低應(yīng)用程序的用戶友好度。

2.配置錯(cuò)誤和變更控制不足

基于云的資源非常復(fù)雜和動(dòng)態(tài)，使配置具有挑戰(zhàn)性。傳統(tǒng)控制和變更管理方法在云中無(wú)效。公司應(yīng)該采用自動(dòng)化技術(shù)，采用能持續(xù)掃描錯(cuò)誤配置資源并實(shí)時(shí)修復(fù)問(wèn)題的技術(shù)。

3.缺乏云安全架構(gòu)和策略

確保安全架構(gòu)與業(yè)務(wù)的目標(biāo)保持一致，開(kāi)發(fā)并實(shí)施安全架構(gòu)框架。

4.身份、憑據(jù)、訪問(wèn)和密鑰管理不足

安全帳戶包括雙因素身份驗(yàn)證和有限的根帳戶使用。對(duì)云用戶和身份實(shí)行最嚴(yán)格的身份訪問(wèn)控制。

5.賬戶劫持

這是一個(gè)必須認(rèn)真對(duì)待的威脅，深度防御和IAM控制是減少賬戶劫持的關(guān)鍵。

6.內(nèi)部威脅

采取措施盡量減少內(nèi)部疏忽，有助于減輕內(nèi)部威脅的后果。為安全團(tuán)隊(duì)提供培訓(xùn)，以便正確安裝、配置和監(jiān)視計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)設(shè)備和備份設(shè)備。CSA實(shí)施還敦促“定期的員工培訓(xùn)意識(shí)”，為正式員工提供培訓(xùn)，告訴他們?nèi)绾翁幚戆踩L(fēng)險(xiǎn)，比如網(wǎng)絡(luò)釣魚(yú)，以及保護(hù)他們?cè)诠就獠抗P記本電腦和移動(dòng)設(shè)備上攜帶的公司數(shù)據(jù)。

7.不安全的接口和API

保證良好API的做法包括對(duì)庫(kù)存、測(cè)試、審核以及異常活動(dòng)保護(hù)等項(xiàng)目進(jìn)行認(rèn)真的監(jiān)督。此外，考慮使用標(biāo)準(zhǔn)和開(kāi)放的API框架，例如，開(kāi)放式云計(jì)算接口（OCCI）和云基礎(chǔ)設(shè)施管理接口（CIMI）。

8.弱控制平面

企業(yè)應(yīng)該進(jìn)行詳盡的調(diào)查，并確定打算使用的云服務(wù)是否擁有足夠的控制平面。

9.元結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)故障

云服務(wù)提供商必須提供可見(jiàn)性和公開(kāi)緩解措施，以抵消租戶對(duì)云缺乏透明性的看法，所有CSP都應(yīng)進(jìn)行滲透測(cè)試，并向客戶提供結(jié)果。

10.有限的云使用可視性

降低風(fēng)險(xiǎn)始于從上到下開(kāi)發(fā)完整的云可見(jiàn)性工作。要求全公司范圍內(nèi)培訓(xùn)公認(rèn)的云使用策略并實(shí)施，所有未經(jīng)批準(zhǔn)的云服務(wù)都必須經(jīng)過(guò)云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員的審核和批準(zhǔn)。

11.濫用和惡意使用云服務(wù)

企業(yè)應(yīng)該監(jiān)控為安排云工作的員工，因?yàn)閭鹘y(tǒng)機(jī)制無(wú)法減輕云服務(wù)使用帶來(lái)的風(fēng)險(xiǎn)。