云安全最容易被忽视的7个问题

云计算于创新有益，却给安全部门制造了麻烦。

　　云计算正从 IT 服务交付可选项演化为事实标准。企业战略团体 (ESG) 最近发布的《2019公共云趋势》报告指出，过去8年来，基础设施及服务环境采取率激增，企业采用率从 17% 上升到 58%;39% 的企业报告称其技术部署完全采取云优先策略。

　　这对创新而言固然是大大的利好，但对挣扎于追逐云技术、架构和用例延续发展变化的安全部门而言，就不那末美好了。他们面对的大部份挑战都与可见性有关。云安全同盟最近的报告显示，在公共云上托管有资产的公司中，3/4 将可见性缺少列为主要挑战。

　　我们无妨来看看都有哪些造成可见性困扰的云安全盲点。

　　1. 业务管理IT

　　忘了 “影子 IT” 或 “流氓 IT” 吧。由业务线利益相干者购买和管理云资产的技术采购模式，正被很多公司企业视为创新驱动力，热切称之为 “业务管理 IT”。《2019 Harvey Nash/毕马威 CIO 联合调查》也报告称，当下超过 2/3 的公司企业要末鼓励，要末允许业务管理 IT。由于这么做的公司企业在市场上打败竞争对手的几率，比不这么做的公司企业高 58%，提供积极员工体验的几率也高 38%。

　　问题在于，缺少来自 IT 和网络安全人员的协作，这些云技术可能成为公司企业的巨大安全盲点。这些公司创新更快，但其安全风险暴露面也是其他公司的两倍。

　　2. 云毛病配置

　　基础设施即服务 (IaaS) 和云数据存储的毛病配置，是现今重大云数据泄漏和暴露的主要缘由。不管是关闭云提供商标准化的默许安全设置、使用默许密码、特定服务开放不受限访问，还是其他甚么操作，毛病配置引入的大量隐藏风险，常常是许多使人难堪的安全事件背后的主因。最近出炉的《2019 云安全报告》指出，约 40% 的公司企业认为云平台毛病配置是他们的主要安全顾虑。

　　3. 混合架构

　　云安全同盟最近报告表示，约 55% 的公司企业运营着采取混合架构的云计算环境。混合架构为大型企业提供了逐渐过渡到云的良好途径，但也引入了安全可见性问题，由于公司很难在全部架构上跟踪资产，也难以跨无数复杂混合云连接监视其上行动。事实上，Firemon 今年早些时候抛出的一个报告显示，80% 的企业遭到混合环境安全监管工具复杂性和有限性的困扰。

　　4. 多云采购

　　云安全同盟报告显示，愈来愈多的公司企业参与多云采购，依赖多家提供商的云环境。大概 66% 的公司企业具有多云环境，约 36% 依赖多云和混合技术。

　　这就进一步遮蔽了安全人员的双眼。Securosis 分析师，云安全公司 DisruptOps 产品副总裁 Rich Mogull 写道：“安全人员面对的问题在于，不同提供商的安全模型和控制区分很大，而且常常文档不全，还完全不兼容。谁要是告知你经过几节培训课程，在几周或几个月时间里让你掌握所有提供商产品的细微差别，那他要末是无知，要末是在撒谎。只有几年时间的实践经验才能真正理解一家云提供商的安全细节。

　　5. 容器与容器编排

　　随着公司企业利用容器化的瞬时变通性与可扩大性，满足软件开发延续集成/延续交付 (CI/CD) 快捷发展的需要，云中容器化工作负载和容器编排的使用也飞速跃升。但 Kubernetes 这样的新平台，向云环境引入新型毛病配置与漏洞的速度，超越了安全团队保护容器技术工作方式的能力。AimPoint Group 受 StackRox 拜托进行的调查显示，40% 的公司企业如今仍处于计划容器环境安全策略或其基础实行阶段，另有 19% 根本就没有容器环境安全策略。

　　6. 暗数据

　　未分类未托管的数据也称为 “暗数据”，是现今大多数企业的严重问题，不管这些数据是在现场还是在云端。根本不知道的资产是没法保护的，所以公司企业在暗数据保护方面束手无策。Vanson Bourne 近期为 Veritas 所做的调查中，暗数据问题在公共云环境中尤其尖锐，3/5 的公司称其公共云数据中已分类部份少于一半。

　　7. 取证与要挟追捕遥测

　　安全团队如今面对的一些重大云盲点，与取证和要挟追捕遥测相干。公司企业不但难以从各种不同云资源获得恰当信息馈送，即使能够获得到正确的信息馈送，他们面对的也是一场硬仗。仅仅是整合数据，并将之与现场遥测关联就已是一场噩梦——某种情势的多仪表盘盲区显现在事件响应和要挟追捕团队眼前。

　　SANS 研究所指出，一半以上的公司企业没法从其云提供商处取得用于取证的低级别日志和系统信息;能够将自有取证与事件响应工具与其公共云环境集成的公司企业不到 1/3。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。