云安全聯盟:云安全不能指望云提供商
越來越多的企業應用、數據和過程遷移到云端,最終用戶也越來越傾向于將自己的安全外包給云提供商。
行業調查表明,很多企業都認為需要自己掌控安全,而不是將最終責任交托給云提供商。咨詢了241位行業專家后,云安全聯盟(CSA)在其調查報告“Egregious 11”中列出了11個重大云安全問題。
這份調查報告的編撰者指出,今年很多緊迫問題的安全責任都推到了最終用戶公司身上,而不是依賴服務提供商解決。“我們注意到,云服務提供商負責的傳統云安全問題的排名有所下降。上一份‘Treacherous 12’報告中出現的問題,例如拒絕服務、共享技術漏洞、云服務提供商(CSP)數據丟失和系統漏洞等,現在的排名都低到直接排除在本次報告之外了。這些問題的缺席表明,由CSP負責的傳統安全問題似乎不再那么令人擔憂。與之相反,高級管理層決策導致的安全問題,也就是技術棧更高層次上的的安全問題,則更有待我們解決。”
CSA的研究結果與Forbes Insights和VMware最近的另一項調查結果相符:積極主動的公司紛紛忍住將安全托付給云提供商的誘惑——僅31%的主管將很多安全措施交托給云提供商。但仍然有94%的受訪者采用云服務來處理某些安全事務。
最新的CSA報告凸顯了今年的主要問題
1. 數據泄露。“網絡攻擊的主要目標逐漸指向數據。對擁有數據或處理數據的企業而言,確定數據的商業價值和數據丟失的影響至關重要。此外,數據保護正演變成誰有權訪問數據的問題。加密技術有助于保護數據,但會對系統性能造成不利影響,同時還會降低應用的易用性。”
2. 錯誤配置和變更控制不足。“云資源不僅相當復雜,而且高度動態,因而配置難度頗高。在云環境中,傳統的控制措施和變更管理方法不再有效。公司應積極實現自動化,采用各項技術持續掃描資源錯誤配置情況并實時修復問題。”
3. 缺乏云安全架構和策略。“確保安全架構符合業務目標。開發并實現安全架構框架。”
4. 缺乏身份、憑證、權限和密鑰管理。“采用雙因素身份驗證和限制使用root賬戶等方式保護賬戶安全。對云用戶和云身份采取最嚴格的身份和訪問控制措施。”
5. 賬戶劫持。這是個必須嚴陣以待的威脅。“深度防御和身份與訪問管理(IAM)控制措施是緩解賬戶劫持的關鍵。”
6. 內部人威脅。“采取措施盡可能地減少內部疏忽有助于緩解內部人威脅造成的影響。為公司安全團隊提供培訓,使其掌握正確安裝、配置和監測計算機系統、網絡、移動設備和備份設備的技能。此外,普通員工也需要進行安全意識培訓,要教會他們如何處理安全風險,比如怎樣應對網絡釣魚,以及如何保護他們存在筆記本電腦和手機上帶出公司的企業數據。”
7. 不安全的接口和API。“保持良好的API安全狀態。在這方面,可采取的良好實踐包括盡職監督庫存、測試、審計和異常活動防護等項目。此外,不妨考慮采用標準的開放API框架(例如,開放云計算接口(OCCI)和云基礎設施管理接口(CIMI))。”
8. 弱控制平面。“云客戶應該進行盡職調查,確定自己打算使用的云服務是否擁有足夠的控制平面。”
9. 元結構和應用結構故障。“云服務提供商必須提供可見性并公開緩解措施,從而消解云計算固有的租戶透明度缺乏問題。所有云服務提供商都應執行滲透測試并向客戶提供測試結果。”
10. 云使用可見性有限。“風險緩解始于自上而下的完整云可見性。要求在全公司范圍內就公認的云使用策略及其實施進行培訓。所有未核準云服務必須經過云安全架構師或第三方風險管理人員的審核和批準。”
11. 云服務濫用及惡意使用。“企業應監控其云端員工行為,因為傳統機制無法緩解云服務使用帶來的風險。”
