越來越多的企業(yè)應(yīng)用、數(shù)據(jù)和過程遷移到云端，最終用戶也越來越傾向于將自己的安全外包給云提供商。

行業(yè)調(diào)查表明，很多企業(yè)都認(rèn)為需要自己掌控安全，而不是將最終責(zé)任交托給云提供商。咨詢了241位行業(yè)專家后，云安全聯(lián)盟(CSA)在其調(diào)查報(bào)告“Egregious 11”中列出了11個(gè)重大云安全問題。

這份調(diào)查報(bào)告的編撰者指出，今年很多緊迫問題的安全責(zé)任都推到了最終用戶公司身上，而不是依賴服務(wù)提供商解決。“我們注意到，云服務(wù)提供商負(fù)責(zé)的傳統(tǒng)云安全問題的排名有所下降。上一份‘Treacherous 12’報(bào)告中出現(xiàn)的問題，例如拒絕服務(wù)、共享技術(shù)漏洞、云服務(wù)提供商(CSP)數(shù)據(jù)丟失和系統(tǒng)漏洞等，現(xiàn)在的排名都低到直接排除在本次報(bào)告之外了。這些問題的缺席表明，由CSP負(fù)責(zé)的傳統(tǒng)安全問題似乎不再那么令人擔(dān)憂。與之相反，高級管理層決策導(dǎo)致的安全問題，也就是技術(shù)棧更高層次上的的安全問題，則更有待我們解決。”

CSA的研究結(jié)果與Forbes Insights和VMware最近的另一項(xiàng)調(diào)查結(jié)果相符：積極主動(dòng)的公司紛紛忍住將安全托付給云提供商的誘惑——僅31%的主管將很多安全措施交托給云提供商。但仍然有94%的受訪者采用云服務(wù)來處理某些安全事務(wù)。

最新的CSA報(bào)告凸顯了今年的主要問題

1. 數(shù)據(jù)泄露。“網(wǎng)絡(luò)攻擊的主要目標(biāo)逐漸指向數(shù)據(jù)。對擁有數(shù)據(jù)或處理數(shù)據(jù)的企業(yè)而言，確定數(shù)據(jù)的商業(yè)價(jià)值和數(shù)據(jù)丟失的影響至關(guān)重要。此外，數(shù)據(jù)保護(hù)正演變成誰有權(quán)訪問數(shù)據(jù)的問題。加密技術(shù)有助于保護(hù)數(shù)據(jù)，但會對系統(tǒng)性能造成不利影響，同時(shí)還會降低應(yīng)用的易用性。”

2. 錯(cuò)誤配置和變更控制不足。“云資源不僅相當(dāng)復(fù)雜，而且高度動(dòng)態(tài)，因而配置難度頗高。在云環(huán)境中，傳統(tǒng)的控制措施和變更管理方法不再有效。公司應(yīng)積極實(shí)現(xiàn)自動(dòng)化，采用各項(xiàng)技術(shù)持續(xù)掃描資源錯(cuò)誤配置情況并實(shí)時(shí)修復(fù)問題。”

3. 缺乏云安全架構(gòu)和策略。“確保安全架構(gòu)符合業(yè)務(wù)目標(biāo)。開發(fā)并實(shí)現(xiàn)安全架構(gòu)框架。”

4. 缺乏身份、憑證、權(quán)限和密鑰管理。“采用雙因素身份驗(yàn)證和限制使用root賬戶等方式保護(hù)賬戶安全。對云用戶和云身份采取最嚴(yán)格的身份和訪問控制措施。”

5. 賬戶劫持。這是個(gè)必須嚴(yán)陣以待的威脅。“深度防御和身份與訪問管理(IAM)控制措施是緩解賬戶劫持的關(guān)鍵。”

6. 內(nèi)部人威脅。“采取措施盡可能地減少內(nèi)部疏忽有助于緩解內(nèi)部人威脅造成的影響。為公司安全團(tuán)隊(duì)提供培訓(xùn)，使其掌握正確安裝、配置和監(jiān)測計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)設(shè)備和備份設(shè)備的技能。此外，普通員工也需要進(jìn)行安全意識培訓(xùn)，要教會他們?nèi)绾翁幚戆踩L(fēng)險(xiǎn)，比如怎樣應(yīng)對網(wǎng)絡(luò)釣魚，以及如何保護(hù)他們存在筆記本電腦和手機(jī)上帶出公司的企業(yè)數(shù)據(jù)。”

7. 不安全的接口和API。“保持良好的API安全狀態(tài)。在這方面，可采取的良好實(shí)踐包括盡職監(jiān)督庫存、測試、審計(jì)和異常活動(dòng)防護(hù)等項(xiàng)目。此外，不妨考慮采用標(biāo)準(zhǔn)的開放API框架(例如，開放云計(jì)算接口(OCCI)和云基礎(chǔ)設(shè)施管理接口(CIMI))。”

8. 弱控制平面。“云客戶應(yīng)該進(jìn)行盡職調(diào)查，確定自己打算使用的云服務(wù)是否擁有足夠的控制平面。”

9. 元結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)故障。“云服務(wù)提供商必須提供可見性并公開緩解措施，從而消解云計(jì)算固有的租戶透明度缺乏問題。所有云服務(wù)提供商都應(yīng)執(zhí)行滲透測試并向客戶提供測試結(jié)果。”

10. 云使用可見性有限。“風(fēng)險(xiǎn)緩解始于自上而下的完整云可見性。要求在全公司范圍內(nèi)就公認(rèn)的云使用策略及其實(shí)施進(jìn)行培訓(xùn)。所有未核準(zhǔn)云服務(wù)必須經(jīng)過云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員的審核和批準(zhǔn)。”

11. 云服務(wù)濫用及惡意使用。“企業(yè)應(yīng)監(jiān)控其云端員工行為，因?yàn)閭鹘y(tǒng)機(jī)制無法緩解云服務(wù)使用帶來的風(fēng)險(xiǎn)。”