云安全性太重要了 不能留给云提供商
随着云计算越来越多地涵盖更多企业应用程序,数据和流程,最终用户也有可能将其安全性外包给提供商。
一项行业调查显示,需要控制安全性而不是将最终责任转嫁给云提供商。云安全联盟发布了对241位行业专家的调查,发现了一个“极其严重的11”云安全问题。
该调查的作者指出,今年的许多最紧迫的问题都是最终用户公司的安全责任,而不是依赖服务提供商。“我们注意到云服务提供商负责的传统云安全问题排名下降。拒绝服务,共享技术漏洞,CSP数据丢失和系统漏洞等问题都出现在以前的'Treacherous 12'中 - 现在被评为如此低,他们已被排除在本报告之外。这些遗漏表明,CSP负责的传统安全问题似乎不那么令人担忧。相反,我们看到更多需要解决安全问题位于高级管理决策结果的技术堆栈上方。“
这与 Forbes Insights和VMware 最近的另一项调查结果一致,该调查发现,积极主动的公司正在抵制将安全性转移到其云提供商的诱惑 - 只有31%的领导者报告将许多安全措施转交给云提供商。(我帮助设计并编写了调查报告。)仍然有94%的人在安全的某些方面使用云服务。
最新的CSA报告强调了今年的主要关注点:
1.数据泄露。“数据正在成为网络攻击的主要目标,”该报告的作者指出。“定义数据的业务价值及其损失的影响对于拥有或处理数据的组织至关重要。” 此外,“保护数据正在演变成谁可以访问它的问题”,他们补充道。“加密技术可以帮助保护数据,但会对系统性能产生负面影响,同时使应用程序对用户不太友好。”
2.配置错误和变更控制不足。“基于云的资源非常复杂和动态,使得配置具有挑战性。传统控制和变更管理方法在云中无效。” 作者表示,“公司应该采用自动化技术,并采用能够持续扫描错误配置资源并实时修复问题的技术。”
3.缺乏云安全架构和策略。“确保安全架构与业务目标和目标保持一致。开发并实施安全架构框架。”
4.身份,凭证,访问和密钥管理不足。“安全帐户,包括双因素身份验证和root帐户的有限使用。为云用户和身份实施最严格的身份和访问控制。”
5.帐户劫持。这是一个必须认真对待的威胁。“深度防御和IAM控制是减轻帐户劫持的关键。”
6.内部威胁。 “采取措施尽量减少内部人员的疏忽可以帮助减轻内部威胁的后果。为安全团队提供培训,以便正确安装,配置和监控您的计算机系统,网络,移动设备和备份设备。” CSA作者还敦促“定期培训员工培训意识。为您的常规员工提供培训,告知他们如何处理安全风险,例如网络钓鱼,并保护他们在笔记本电脑和移动设备上携带的公司数据。”
7.不安全的接口和API。“实践良好的API卫生。良好的做法包括对库存,测试,审核和异常活动保护等项目进行认真的监督。” 此外,“考虑使用标准和开放的API框架(例如,开放式云计算接口(OCCI)和云基础设施管理接口(CIMI))。”
8.弱控制平面。“云客户应该进行尽职调查,并确定他们打算使用的云服务是否拥有足够的控制平面。”
9.元结构和应用失败。“云服务提供商必须提供可见性并公开缓解措施,以抵消云对租户固有的透明度缺乏。
10.有限的云使用可见性。“从上到下开展完整的云可见性工作,首先要对风险进行缓解。要求全公司范围内对可接受的云使用政策进行培训并实施。所有未经批准的云服务必须经过云安全架构师或第三方审核和批准风险管理。”
11.滥用和恶意使用云服务。“企业应该监控云中的员工,因为传统机制无法降低云服务使用带来的风险。”