由于云配置错误导致的数据泄露越来越多地成为新闻头条。随着云创新步伐的加快,开发安全事件反复上演。根据云基础架构厂商VMware和云安全联盟的联合调查发现,2020年17% 的企业组织报告了配置错误导致的云安全漏洞。该研究强调,缺乏云安全知识、团队协调、风险可见性和速度是阻碍企业安全团队实施云安全配置的四个主要挑战。
1. 云安全知识欠缺
当被问及为什么无法解决导致漏洞出现的云配置错误时,59%的受访者表示,云知识欠缺是云安全面临的挑战。目前,在大多数企业组织中,对整个组织进行安全培训的重担落在了IT团队身上,有时还会看到一个安全架构师为企业组织中数百名开发人员和其他IT人员提供支持。云安全专家的稀缺可能会在整个企业组织内导致一连串的安全问题,但是,要找到熟悉云安全、经验丰富的员工也并不容易。
2. 团队各自为战
近一半(49%)的受访者表示,他们的信息安全、IT 运营和DevOps团队在云安全策略上不一致。企业组织的云安全治理需要不同团队的参与,但每个团队的安全或合规目标略有不同,未能保持治理策略的一致是一种安全或合规风险,对于试图平衡开发速度与安全治理的开发人员来说是一个棘手的问题。在此背景下,企业组织应考虑建立一个集中的云卓越中心或跨职能团队,以支持和管理企业组织内云战略的执行。
3. 风险可见性差
63%的受访者表示,其所在企业组织无法防止云安全漏洞的主要原因是缺乏对错误配置的可见性,91%的受访者表示,其所在企业组织目前正在使用解决方案来检测和修复错误配置。企业组织之所以无法有效识别错误配置,是因为一般云提供商提供了部分云安全服务,在这种情况下,企业安全团队经常对需要担负的云安全责任感到困惑。
就自负责任而言,企业安全团队需要对云服务有更广泛和深度的风险可见性。这意味着企业安全团队需要使用适当的策略监控云提供商、帐户和服务,需要深入了解各种云资源、配置依赖关系以及黑客访问数据或控制云环境的众多路径。目前,行业内缺乏有效的解决方案来进行全面的安全支持,即使企业安全团队有监控云的解决方案,也未必具有良好的风险可见性。
4. 应对迟缓
众所周知,网络犯罪分子可以在几分钟内快速识别并探查在互联网上暴露的云资产。因此,企业安全团队识别和修复错误配置的速度对于能否避免云安全漏洞被利用至关重要。不幸的是,在调查中发现大多数企业组织的云安全流程应对滞后。接近一半(44%)的受访者表示需要一天多的时间来检测配置错误,63%的人表示修复该风险需要一天以上的时间。
在此背景下,安全左移——倡导在软件开发早期阶段引入安全,使开发人员能够在代码生产之前修复错误配置就显得尤为重要,也应该成为企业安全团队的关键优先事项。但是,没有哪种实现方法是万无一失的,开发人员也不可能捕获所有错误,因此,企业组织使用实时安全监控解决方案来补充DevSecOps方法,对于有效管理云风险至关重要。
由于人为因素导致的错误配置是云安全漏洞的主要原因。当然,让开发人员能够安全地使用云并降低错误配置风险仍然具有挑战性。企业安全团队提高云安全性的最快方法之一是从其他人所犯的错误中学习经验教训。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】