細(xì)數(shù)云服務(wù)的11個(gè)威脅 云安全應(yīng)該交給誰?
2019年08月21日
隨著云計(jì)算發(fā)展到涵蓋更多的企業(yè)應(yīng)用程序�����、數(shù)據(jù)和流程,企業(yè)可能會選擇將其安全性服務(wù)外包給供應(yīng)商��。
一項(xiàng)行業(yè)調(diào)查顯示����,許多企業(yè)都需要注意安全問題,而不是將任務(wù)交給云提供商�����。云安全聯(lián)盟對241名行業(yè)專家進(jìn)行了調(diào)查����,發(fā)現(xiàn)了一個(gè)“令人震驚的”云安全問題。
該調(diào)查的作者指出����,今年許多安全問題都將安全責(zé)任指向了用戶企業(yè),而不是依賴于服務(wù)提供商����。我們注意到,傳統(tǒng)云服務(wù)提供商在云安全問題上的排名有所下降�����。諸如拒絕服務(wù)、共享技術(shù)漏洞����、CSP數(shù)據(jù)丟失和系統(tǒng)漏洞等問題,這些在以前都是受關(guān)注頗高的安全問題���,現(xiàn)在的排名則有所下降���。這些表明CSP負(fù)責(zé)的傳統(tǒng)安全問題似乎不那么令人擔(dān)憂�����。相反���,我們看到了更多需要解決高級管理層決策所帶來的技術(shù)堆棧更高的安全問題���。
這與Forbes Insights和VMware最近的另一項(xiàng)調(diào)查結(jié)果一致,該調(diào)查發(fā)現(xiàn)����,部分公司正在極力避免將安全措施移交給云提供商,只有31%的領(lǐng)導(dǎo)者表示將安全措施移交給云提供商����。盡管如此�����,94%的公司在某些安全方面采用了云服務(wù)����。
CSA的最新報(bào)告強(qiáng)調(diào)了今年的主要安全問題:
1. 數(shù)據(jù)泄露��。報(bào)告的作者指出���,數(shù)據(jù)正成為網(wǎng)絡(luò)攻擊的主要目標(biāo)�����。定義數(shù)據(jù)的業(yè)務(wù)價(jià)值及其損失的影響對于擁有或處理數(shù)據(jù)的企業(yè)非常重要�����。此外��,他們補(bǔ)充稱�,保護(hù)數(shù)據(jù)正演變成誰有權(quán)訪問數(shù)據(jù)的問題�。加密技術(shù)可以幫助保護(hù)數(shù)據(jù)�����,但會對系統(tǒng)性能產(chǎn)生負(fù)面影響����,同時(shí)降低應(yīng)用程序的用戶友好度�����。
2. 配置錯誤和變更控制不足����。基于云的資源非常復(fù)雜和動態(tài),使得配置具有挑戰(zhàn)性�����。傳統(tǒng)控制和變更管理方法在云中無效��。公司應(yīng)該采用自動化技術(shù)���,并采用能夠持續(xù)掃描錯誤配置資源并實(shí)時(shí)修復(fù)問題的技術(shù)。
3. 缺乏云安全架構(gòu)和策略���。確保安全架構(gòu)與業(yè)務(wù)目標(biāo)和目標(biāo)保持一致����。開發(fā)并實(shí)施安全架構(gòu)框架。
4. 身份���、憑據(jù)���、訪問和密鑰管理不足。安全帳戶包括雙因素身份驗(yàn)證和有限的根帳戶使用�。對云用戶和身份實(shí)行最嚴(yán)格的身份和訪問控制。
5. 賬戶劫持���。這是一個(gè)必須認(rèn)真對待的威脅�����。深度防御和IAM控制是減少賬戶劫持的關(guān)鍵��。
6. 內(nèi)部威脅����。采取措施盡量減少內(nèi)部疏忽,有助于減輕內(nèi)部威脅的后果����。為您的安全團(tuán)隊(duì)提供培訓(xùn),以便正確安裝��、配置和監(jiān)視您的計(jì)算機(jī)系統(tǒng)����、網(wǎng)絡(luò)、移動設(shè)備和備份設(shè)備�����。CSA還敦促“定期的員工培訓(xùn)意識”���。為你的正式員工提供培訓(xùn)�����,告訴他們?nèi)绾翁幚戆踩L(fēng)險(xiǎn),比如網(wǎng)絡(luò)釣魚�����,以及保護(hù)他們在公司外部筆記本電腦和移動設(shè)備上攜帶的公司數(shù)據(jù)�。
7. 不安全的接口和API����。保證良好的API���。良好的做法包括對庫存�、測試�、審核和異常活動保護(hù)等項(xiàng)目進(jìn)行認(rèn)真的監(jiān)督�。 此外,考慮使用標(biāo)準(zhǔn)和開放的API框架(例如��,開放式云計(jì)算接口(OCCI)和云基礎(chǔ)設(shè)施管理接口(CIMI))���。
8. 弱控制平面���。企業(yè)應(yīng)該進(jìn)行詳盡的調(diào)查,并確定他們打算使用的云服務(wù)是否擁有足夠的控制平面�����。
9. 元結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)故障���。云服務(wù)提供商必須提供可見性和公開緩解措施�,以抵消租戶對云的固有缺乏透明性。所有csp都應(yīng)進(jìn)行滲透測試�,并向客戶提供結(jié)果。
10. 有限的云使用可視性����。降低風(fēng)險(xiǎn)始于從上到下開發(fā)完整的云可見性工作。要求全公司范圍內(nèi)培訓(xùn)公認(rèn)的云使用策略及其實(shí)施�。所有未經(jīng)批準(zhǔn)的云服務(wù)都必須經(jīng)過云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員的審核和批準(zhǔn)。
11. 濫用和惡意使用云服務(wù)��。企業(yè)應(yīng)該監(jiān)控他們安排云方面工作的員工����,因?yàn)閭鹘y(tǒng)機(jī)制無法減輕云服務(wù)使用帶來的風(fēng)險(xiǎn)。
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
