企业云安全问题随着云领域投入的不断提升而得到高度关注,根据一份报告显示,用户凭证滥用已经成为其中最为严重的威胁因素。
在此次受访的2200名全球安全专家中,超过半数表示伪造员工凭证的未授权访问与不当访问控制机制属于云安全领域的头号威胁,紧随其后的则为账户劫持(44%)与不安全接口(39%)。
“超过56%的受访组织在内部环境下使用Active Directory以验证并授权指向云应用程序的访问活动,例如微软Office 365,”戴尔公司系统与信息管理部门首席解决方案顾问Alvaro Vitta表示。
“事实上,Active Directory安全控制机制并不能提供足够的保护,意味着云应用程序面临着未授权访问的潜在风险。千万别让内部Active Directory成为大家混合目录环境下的软肋所在,”他强调称。
亦有三分之一的受访组织表示,敏感信息的外部共享可能成为最为严重的安全威胁。
总体而言,研究表明云安全关注正随着云计算普及范围的扩大而得到重视,事实上安全问题已经成为阻碍云方案推广的头号因素。
在此次调查中,有53%受访者重视常规安全关注,这一比例高于去年的45%,紧随其后的则分别为法律与合规要求的42%(去年为29%)以及数据丢失与泄露风险的40%。
从理论到实践
根据调查报告,对合规性及整合工作的重视意味着已经有众多企业开始将云模式由理论考量转化为实际操作。
“随着企业积极寻求利用云计算降低IT成本、提高灵活性并更好地支持各项业务功能,云环境下的数据与应用程序安全性已经成为一项关键性前提,”在领英上拥有30万成员的信息安全社区创始人Holger Schulze表示。
“〈2016年云安全聚焦报告〉指出,随着众多企业不断加大云基础设施投入力度,其同时亦开始意识到需要在新环境下实现与传统IT基础设施中相对等的安全控制与功能,”他强调称。
传统工具在云环境中往往表现不佳
然而,Schulze指出企业发现传统安全工具在云环境中往往表现不佳。“在共享库模式当中,企业需要运用行之有效的云安全系统来强化自身安全水平,同时充分利用云计算所承诺的固有优势,”他表示。
此次调查发现,84%的受访者对于传统安全工具在云基础设施中的表现不甚满意。受访者们表示,传统网络安全工具在某种程度上效果不佳(48%)、完全无效(11%)或者无法在云环境下确定其具体效果(25%)。
Bitglass公司首席执行官Nat Kausik指出,尽管云安全已经迎来了长足进步,但无论是原生还是传统工具都无法彻底解决其安全隐患。“凭借着针对性明确的云安全工具,企业能够遵循合规性并控制数据泄露风险,”他指出。
IT正在快速转型至更具敏捷性的共享式弹性基础设施生态系统,同时配合持续交付且与传统区别明显的安全工具,CloudPassage公司首席产品官Ram Krishnan表示。
“云计算要求安全平台针对云环境进行专门构建,然而目前的方案还不足以跨越任意基础设施为其保护的工作负载提供可视化、自动合规、快速部署及微调整能力,”他坦言。
强化云安全
对于企业而言,最令人头痛的三大安全难题分别为云安全策略验证(51%)、可视化(49%)以及合规性(37%)。
这样的结果证明,企业已经在云模式的实际运用方面较2015年走得更远,而且正积极寻求足以强化保护能力的安全系统,这份调查报告指出。
不过报告同时提醒称,迈向云环境的企业事实上拥有多种云安全强化方案可供选择。
约有61%的企业受访者表示正计划培训并认证现有IT人员,45%决定与托管安全服务供应商合作,42%则正在部署更多安全软件以保护云环境下的数据与应用程序。
(ISC)2公司首席执行官David Shearer则对61%受访企业做出的培训与认证决定表示赞赏。
“这表明合格及接受过适当训练的专业人士在保护企业安全当中所发挥的关键性作用。随着云安全问题关注度的持续上升,我们对这样的倡议表示支持,”他指出。