如今,很多企业仍然担心云计算的安全性,因为在迁移业务时可能会使其数据面临风险。因此需要探索有助于加强云计算环境安全的现代方法、技术、工具。
而云计算对于组织是否更安全,也存在不一致的观点。云计算安全性与传统内部部署数据中心的安全性之间的最大区别在于共享责任模型。AWS、微软、谷歌等主要云计算提供商已经投入大量资金来应对新出现的安全威胁。它们还提供广泛的身份和访问管理(IAM)基础设施,但企业仍然需要尽其所能保障其安全。
安全软件提供商XYPRO Technology公司首席产品官Steve Tcherchian表示,“企业将其应用程序迁移到云端,并不意味着可以将网络安全责任转移到云计算提供商身上”。
企业需要将相同的策略、控制和监控部署到任何云计算基础设施,以确保一切都得到适当的保护。然而,企业仍有责任确保云安全优秀实践,否则它将与没有采用保护措施的本地环境一样不安全。
IT Harvest公司首席研究分析师、《安全云转型:首席信息官之旅》一书的作者Richard Stiennon说,“云计算提供商在某些领域本质上更安全。”这其中包括分布式拒绝服务(DDoS)攻击、更简单的配置管理、SaaS服务的自动安全更新,以及整合的安全日志记录和访问管理。
例如,对托管在云计算网络上的服务器进行DDoS攻击要困难得多,因为云计算网络通常拥有数百千兆位的容量,并且不容易被泛滥的数据淹没。云计算配置也比内部部署配置更加标准化,这也是一种简化,使保护它们更容易。Stiennon相信使用新的安全方法(比如零信任网络)可以应对对于云计算的机会性攻击。
安全性仍然是云计算应用的首要考虑因素。总的来说,Stiennon认为对于云计算攻击的危害比本地攻击要小得多。在云端,其攻击通常仅限于一个配置错误的服务,而最近的勒索软件攻击证明,本地攻击可以影响整个基础设施。迄今为止报告的大多数云计算漏洞都是错误配置的S3存储桶,而这些存储桶通常是由研究人员而不是攻击者发现的。Stienon说,利用云计算提供商的后端可能会泄露数十亿条记录,这证明了分层防御的重要性。
Stiennon发现的较大的安全问题是由于企业没有利用云计算提供商的配置、日志记录和安全工具。另一个挑战来自于通过托管云中的部分基础设施来实现安全性,同时维护旧数据中心中的关键组件,例如DNS、加密密钥和Active Directory。
实践中降低云计算安全性
尽管公共云具有安全优势,但最近的证据表明,实际上,云计算的安全性稍差。安全供应商Riskrecon公司的一份报告发现,60%的组织在其云计算服务中的严重漏洞比在其内部部署系统还要多。
XYPRO Technology公司首席产品官Steve Tcherchian表示,网络攻击是一种机会犯罪,因此无论应用程序位于何处,都可能受到攻击。
但是,其漏洞并不是均匀分布的。据该报告称,在AWS和Microsoft Azure上运行工作负载的企业在云中的关键漏洞明显少于本地漏洞。
Tcherchian表示,主要的云计算提供商还有很多工作要做,以帮助客户在云中构建全面的安全性,例如教育用户和创建自动化测试工具。他们还必须平衡安全顾虑和使他们的服务更加强大和灵活的需求。尽管如此,网络攻击是一种机会主义犯罪,因此无论企业的应用程序位于何处,都可能受到攻击。
获得可视性
企业需要一种方法来了解其环境以确保其安全。云计算可以降低企业实施高端工具的障碍,如安全仪表板和趋势分析。ServerCentral Turing Group首席信息安全官Thomas Johnson表示,有许多系统可以为内部企业系统提供可视性,但基于云计算的产品的集成性使这更容易,也相对便宜。
内部部署系统和基础设施不具备基于云计算系统的灵活性。例如,企业可以启动AWS Shield Advanced等技术,以便在几分钟内更好地了解攻击。相比之下,推出新的本地解决方案可以包括新硬件,或者至少可以增加额外的虚拟机以支持新产。
构建身份访问与管理(IAM)
内容协作平台Egnyte公司联合创始人、运营副总裁兼首席安全官Kris Lahiri说,主要的云计算提供商突出了身份访问与管理(IAM)、治理以及其他安全工具和教程,以帮助客户将他们的旅程映射到云端。他说,“许多这些优秀实践,如管理加密密钥或连续扫描云计算资源,以前都难以实现。”
这一点尤为重要,因为云计算需要基于身份访问与管理(IAM)的新安全范例来替换内部的外围安全工具,例如防火墙和VPN。随着企业将业务迁移到云端,他们必须通过身份访问与管理(IAM)规则制定核心组织策略,以便创建更好的整体安全状况。
进行小型审计
当应用程序和数据移动到云端以识别任何潜在的安全漏洞时,评估它们的生命周期是很重要的。数字转型咨询机构Step5公司的合伙人David McPherson说,企业应该进行一次小型审计,以充分了解与云计算相关流程相关的安全性。需要了解的重要信息包括:
- 数据位置:了解数据的托管位置、使用的服务以及对该数据负责的人员。
- 添加服务:确定谁正在添加和扩展服务。此外,找出谁可以添加服务,并检查添加的条款。
- 离开条款:查看离开服务条款,了解当企业决定退出云端时会发生什么。
减少人为错误的影响
人工智能相机平台Umbo Computer Vision公司基础设施负责人Chun Cheng Liu表示,人工错误是导致云计算安全性降低的最大风险。在业务方面,这意味着确保企业员工了解新的安全程序,并接受必要的安全培训,无论员工在企业中的角色如何,这降低了导致安全漏洞错误的可能性。
例如,Umbo公司创建了一个安全门户,可以在员工入职时对其进行安全策略和实践培训。Chun Cheng Liu说,“每个成员都会在入职之后进行安全培训,以便在事情发生变化时可以有效应对。”
Johnson表示,错误配置的Amazon S3存储桶等问题往往是缺乏产品知识的一个功能。对于个人而言,在安全性方面本质上很难了解各种云计算提供商的所有细微差别。与具有目标平台知识的专家合作是明智的,尤其是在云迁移的初期。