自2006年AWS推出EC2之后,云计算的破坏性力量改变了整个科技行业。随后国外Google的GCP、Microsoft的Azure和国内的阿里云,进一步带动了整个云市场的发展。IaaS、PaaS、SaaS的云计算分层结构被大家所熟知,公有云、私有云、混合云在每个单位云的建设中被反复提及。随着云计算技术对科技行业的重塑性影响之下,其对安全的要求也是具有突破性的,传统的安全思路和产品已经很难适应云的环境。换言之,传统数据中心的安全方案在云计算时代下已经不适用。随着云计算的逐渐普及,云安全的重要性越来越高,在安全市场整体的发展中,发展的速度比其它类型的安全产品都要迅速,这也是信息基础设施改变所带来的强有力的推动力。
其中尤其需要关注的有以下几点:
业务-管理 IT:如今,许多将 IT 视为创新驱动因素的组织,其麾下业务相关人员购买和管理云资产的技术购买模式,已经被冠以“业务-管理 IT”这个铿锵有力的名号。“Harvey Nash/KPMG(毕马威)CIO 2019年调查”就提到了这一点。该调查报告称,如今超过三分之二的组织要么鼓励,要么允许这种“企业-管理 IT”。原因是,采用这种 IT 措施的公司在市场上击败其竞争对手的可能性会提高 52%,而提供积极员工体验的可能性则提升了 38%。问题是,如果没有 IT 或网络安全专家的密切合作,这些草草动工的云技术“竖井”可能成为这些组织安全上的巨大盲点。固然这些组织的创新速度变得更快,但调查也显示,这些组织在多个领域中面临安全风险的可能性是其他组织的两倍。
云平台错误配置:对IaaS的依赖和对云数据存储的错误配置,是导致当下一些最具破坏性的云入侵和数据外泄的主要原因。无论是错误地关闭了云提供商标准化的默认安全设置,还是使用了默认密码,或者对某些服务允许不受限制的访问,以及其他种种原因,错误配置问题都会带来大量隐藏的风险,大约有 40%的组织表示,云平台配置不当是他们最担心的网络安全问题。
混合架构:据统计大约 55%的组织当前运行的是使用混合架构的、非常复杂的云计算环境。虽然这样的环境设置为大型组织逐步过渡到云平台提供了一种较好的方法,但它同时也带来了许多安全可见性方面的挑战,因为组织很难跨越整个系统架构去跟踪所有资产,或者跨越混合云复杂的无数连接对各种活动进行监控。80%的组织都面临挑战——用于监控和管理安全性的工具在混合架构环境中有诸多限制,且复杂性过高。
云供应商过多:越来越多的组织正从多家云供应商进行采购,这些组织搭建的云依赖于来自多家供应商的云环境。据估计,大约 66%的组织拥有多家供应商的云环境,而且 36%的组织同时依赖于多家供应商和混合技术。这样的状况进一步搅浑了安全专业人员所看管的一池水。Securosis 的分析师、云安全公司 DisruptOps 的产品副总裁 Rich Mogull 写道:“如今安全专业人士所面临的问题是,不同的供应商之间安全方面的模型和控制千差万别,还普遍缺乏详细的文档说明,而且不同的云产品完全不兼容。”他还说:“如果有人告诉你,他们能在几周或几个月的时间里,通过寥寥几节培训课程就能领会到这些细微差别,那他要么是在撒谎,要么就是无知。要真正做到理解哪怕知识一家云供应商关于安全性的各种复杂细节,也需要多年的亲身实践经验。”
容器:为了支持软件开发中持续集成/持续交付(CI/CD)的飞速改进和发展,如今许多组织都充分利用了短时运行的容器所带来的灵活性和可扩展性,在云计算中容器化工作负载和容器编制(container orchestration)的使用率正在以火箭式的速度飞涨。但是像 Kubernetes 这样的新平台,正在向云环境不断引入新的错误配置和漏洞,而且这些隐患引入的速度之快,甚至超过了安全团队完全理解相关容器技术工作原理的速度。根据最近由 AimPoint Group 代表 StackRox 所做的研究报告,目前 40%的组织仍然处于容器环境安全策略的规划或初级部署阶段,另有 19%组织根本没有任何安全策略可言。
暗数据:非机密和非托管数据,也称为“暗数据”(dark data),是当今大多数企业面临的一个巨大问题,无论这些数据是存储在企业本地设备中还是在云环境中。由于无法对未知资产实施安全措施,组织实际上很难对暗数据进行有效的保护。根据 Vanson Bourne 最近为 Veritas 进行的一项调查,暗数据的问题在公共云环境中尤其严重,五分之三的公司表示,他们对公共云中所存储数据的加密被保护的还不到一半比例。
取证和威胁追踪遥测技术:目前安全团队正在抗争的一些最致命的云安全盲点,与取证和威胁追踪遥测技术相关。现在各个组织不仅难以从所有不同的云资源中获取正确的信息,而且即便能够做到这一点,这些组织还面临着另一场艰苦的战斗。仅仅是整合这些数据,并将其与公司办公场所的遥测技术相关联就已经是这些组织内部的一场噩梦,因为对于组织中负责事件响应和威胁搜索的团队来说,这简直就是面前的仪表盘多得让人头昏眼花的混乱状况。根据 SANS Institute 的数据,从云供应商那里获取用于取证的低层日志和系统信息时,超过一半的组织都遇到了挫折,只有不到三分之一的组织能够做到将他们内部使用的取证和事件响应工具与他们的公共云环境集成在一起。
如需对云安全有进一步了解,请联系蓝盟IT外包获取免费咨询。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
