2019-09-04 09:11:52分類:行業資訊4151
如今,很多企業仍然擔心云計算的安全性,因為在遷移業務時可能會使其數據面臨風險。因此需要探索有助于加強云計算環境安全的現代方法、技術、工具。
而云計算對于組織是否更安全,也存在不一致的觀點。云計算安全性與傳統內部部署數據中心的安全性之間的最大區別在于共享責任模型。AWS、微軟、谷歌等主要云計算提供商已經投入大量資金來應對新出現的安全威脅。它們還提供廣泛的身份和訪問管理(IAM)基礎設施,但企業仍然需要盡其所能保障其安全。
安全軟件提供商XYPRO Technology公司首席產品官Steve Tcherchian表示,“企業將其應用程序遷移到云端,并不意味著可以將網絡安全責任轉移到云計算提供商身上”。
企業需要將相同的策略、控制和監控部署到任何云計算基礎設施,以確保一切都得到適當的保護。然而,企業仍有責任確保云安全優秀實踐,否則它將與沒有采用保護措施的本地環境一樣不安全。
IT Harvest公司首席研究分析師、《安全云轉型:首席信息官之旅》一書的作者Richard Stiennon說,“云計算提供商在某些領域本質上更安全。”這其中包括分布式拒絕服務(DDoS)攻擊、更簡單的配置管理、SaaS服務的自動安全更新,以及整合的安全日志記錄和訪問管理。
例如,對托管在云計算網絡上的服務器進行DDoS攻擊要困難得多,因為云計算網絡通常擁有數百千兆位的容量,并且不容易被泛濫的數據淹沒。云計算配置也比內部部署配置更加標準化,這也是一種簡化,使保護它們更容易。Stiennon相信使用新的安全方法(比如零信任網絡)可以應對對于云計算的機會性攻擊。
安全性仍然是云計算應用的首要考慮因素。總的來說,Stiennon認為對于云計算攻擊的危害比本地攻擊要小得多。在云端,其攻擊通常僅限于一個配置錯誤的服務,而最近的勒索軟件攻擊證明,本地攻擊可以影響整個基礎設施。迄今為止報告的大多數云計算漏洞都是錯誤配置的S3存儲桶,而這些存儲桶通常是由研究人員而不是攻擊者發現的。Stienon說,利用云計算提供商的后端可能會泄露數十億條記錄,這證明了分層防御的重要性。
Stiennon發現的較大的安全問題是由于企業沒有利用云計算提供商的配置、日志記錄和安全工具。另一個挑戰來自于通過托管云中的部分基礎設施來實現安全性,同時維護舊數據中心中的關鍵組件,例如DNS、加密密鑰和Active Directory。
實踐中降低云計算安全性
盡管公共云具有安全優勢,但最近的證據表明,實際上,云計算的安全性稍差。安全供應商Riskrecon公司的一份報告發現,60%的組織在其云計算服務中的嚴重漏洞比在其內部部署系統還要多。
XYPRO Technology公司首席產品官Steve Tcherchian表示,網絡攻擊是一種機會犯罪,因此無論應用程序位于何處,都可能受到攻擊。
但是,其漏洞并不是均勻分布的。據該報告稱,在AWS和Microsoft Azure上運行工作負載的企業在云中的關鍵漏洞明顯少于本地漏洞。
Tcherchian表示,主要的云計算提供商還有很多工作要做,以幫助客戶在云中構建全面的安全性,例如教育用戶和創建自動化測試工具。他們還必須平衡安全顧慮和使他們的服務更加強大和靈活的需求。盡管如此,網絡攻擊是一種機會主義犯罪,因此無論企業的應用程序位于何處,都可能受到攻擊。
獲得可視性
企業需要一種方法來了解其環境以確保其安全。云計算可以降低企業實施高端工具的障礙,如安全儀表板和趨勢分析。ServerCentral Turing Group首席信息安全官Thomas Johnson表示,有許多系統可以為內部企業系統提供可視性,但基于云計算的產品的集成性使這更容易,也相對便宜。
內部部署系統和基礎設施不具備基于云計算系統的靈活性。例如,企業可以啟動AWS Shield Advanced等技術,以便在幾分鐘內更好地了解攻擊。相比之下,推出新的本地解決方案可以包括新硬件,或者至少可以增加額外的虛擬機以支持新產。
構建身份訪問與管理(IAM)
內容協作平臺Egnyte公司聯合創始人、運營副總裁兼首席安全官Kris Lahiri說,主要的云計算提供商突出了身份訪問與管理(IAM)、治理以及其他安全工具和教程,以幫助客戶將他們的旅程映射到云端。他說,“許多這些優秀實踐,如管理加密密鑰或連續掃描云計算資源,以前都難以實現。”
這一點尤為重要,因為云計算需要基于身份訪問與管理(IAM)的新安全范例來替換內部的外圍安全工具,例如防火墻和VPN。隨著企業將業務遷移到云端,他們必須通過身份訪問與管理(IAM)規則制定核心組織策略,以便創建更好的整體安全狀況。
進行小型審計
當應用程序和數據移動到云端以識別任何潛在的安全漏洞時,評估它們的生命周期是很重要的。數字轉型咨詢機構Step5公司的合伙人David McPherson說,企業應該進行一次小型審計,以充分了解與云計算相關流程相關的安全性。需要了解的重要信息包括:
數據位置:了解數據的托管位置、使用的服務以及對該數據負責的人員。 添加服務:確定誰正在添加和擴展服務。此外,找出誰可以添加服務,并檢查添加的條款。 離開條款:查看離開服務條款,了解當企業決定退出云端時會發生什么。 減少人為錯誤的影響
人工智能相機平臺Umbo Computer Vision公司基礎設施負責人Chun Cheng Liu表示,人工錯誤是導致云計算安全性降低的最大風險。在業務方面,這意味著確保企業員工了解新的安全程序,并接受必要的安全培訓,無論員工在企業中的角色如何,這降低了導致安全漏洞錯誤的可能性。
例如,Umbo公司創建了一個安全門戶,可以在員工入職時對其進行安全策略和實踐培訓。Chun Cheng Liu說,“每個成員都會在入職之后進行安全培訓,以便在事情發生變化時可以有效應對。”
Johnson表示,錯誤配置的Amazon S3存儲桶等問題往往是缺乏產品知識的一個功能。對于個人而言,在安全性方面本質上很難了解各種云計算提供商的所有細微差別。與具有目標平臺知識的專家合作是明智的,尤其是在云遷移的初期。