基于云的基礎架構通常比內部托管系統更便宜、更靈活且更具可擴展性。因此,越來越多的組織正在將敏感數據和應用程序遷移到基于云的部署中。
然而,關于云的前景并不完全樂觀。雖然許多組織全心全意地采用云計算,但很少有人采用良好的云安全實踐。許多組織對待基于云的環境的方式與處理本地部署的方式相同。
事實上,云安全與本地安全有很大不同。一個組織的安全團隊對其所使用的基礎設施的控制級別非常不同,因此,保護??它的責任也不同。
許多組織未能理解安全的云共享責任模型及其云服務提供商 (CSP) 提供的控制和配置設置。結果,他們未能正確配置這些設置,使敏感數據容易受到攻擊。
云共享責任模型
云是一個與許多組織習慣的本地部署截然不同的環境。最大的區別之一是云共享責任模型的概念。在本地部署中,組織的安全團隊擁有其網絡基礎設施的每一部分。理論上,該團隊可以完全了解和控制一切——從服務器機房中的物理硬件到在該硬件上運行的頂級應用程序。這意味著他們還負有保護其網絡環境的全部責任。
根據他們租用的云服務的詳細信息,他們的基礎設施堆棧的或多或少的部分實際上由他們的 CSP 擁有和控制。隨著所有權的喪失,客戶的安全團隊也失去了可見性和控制權。
在云中,CSP 和客戶共同承擔安全責任。基礎架構堆棧的某些級別完全在 CSP 的控制之下,他們負責保護這些級別。其他由客戶控制,由客戶全權負責。在這兩個部分相遇的地方,CSP 及其客戶通常共同承擔責任。
在許多情況下,CSP 為其客戶提供安全控制和配置設置,他們可以使用這些設置來保護他們負責的云部署部分。未能理解共擔責任模型(事實上,他們的云安全的某些方面是他們自己的責任),以及未能正確配置這些提供的安全控制,導致許多組織的敏感信息容易受到威脅。
云安全配置錯誤的威脅
正確配置云安全設置需要了解設置、它們的工作原理以及如何將它們映射到組織的總體安全策略。由于97% 的組織都采用了多云策略,這可能比聽起來更難。
正確保護云需要清楚地了解云共享責任模型,但只有 27% 的安全專業人員認為該模型非常清晰。因此,大多數安全團隊在運作時對云安全的哪些方面是他們的責任,哪些是 CSP 的工作沒有充分的了解。
一旦安全團隊清楚地了解了他們在保護云中的責任,他們就需要確定并適當配置其 CSP 提供的安全控制。在多云環境中,所有環境都有自己的安全控制和配置設置集合,這可能是一項復雜的任務。
未能安全地配置云部署使得敏感信息很容易泄露。云被設計為可以從任何地方輕松訪問,并且位于許多組織部署大量網絡安全威脅檢測和數據保護解決方案的網絡邊界之外。因此,許多組織因云安全控制的錯誤配置而遭受數據泄露也就不足為奇了——而且在接到道德黑客的通知之前,他們往往不知道這一事實。
保護云部署
內部部署和云部署之間的差異會影響云中各種安全解決方案的有效性。許多為本地部署設計的安全解決方案在遷移到云部署時會失去部分或全部有效性。保護云計算需要專門針對云開發和實施安全策略和策略。雖然這些應該與組織的整體安全策略并行并符合,但它們的實施細節需要特定于云。組織需要旨在提供云部署可見性和控制的安全解決方案,尤其是 CSP 提供的安全配置和控制。
