影子云服务是现代企业的一部分,但它们带来了新的安全挑战。专家RobShapland讨论了几种缓解方法。拥抱云的一个关键挑战是了解数据存储在何处以及云服务中。根据要求,大多数企业允许将数据存储在多个受信任的云服务中,例如Office365、Dropbox、GoogleDrive或主要的基础设施即服务提供商。这些服务可以通过使用云访问安全代理进行精确监控,以确保企业策略和安全控制可以应用于云服务。然而,对于大多数企业来说,越来越明显的挑战是跟踪不受信任或影子云服务的使用。这些服务不在CASB的涵盖范围内,并且可能不受公司安全团队的控制。安全团队不仅不知道这些服务上存储了哪些数据,他们甚至不知道有多少数据被使用了。Ciphercloud研究表明,只有14%的使用中的云应用程序是合法的。不安全服务中的数据存储会带来重大风险,并增加意外数据泄露的风险。自然的反应是阻止对所有影子云服务的访问,但这种方法是否过时了?如何处理影子云服务首先,组织需要了解员工使用了多少影子云服务。如果所有公司流量都通过公司Web代理路由,则应用程序使用数据可供IT团队使用。这可能只是所需方法组合的一部分。请记住,进出云的所有流量都必须离开公司网络,因此可能有一种方法可以跟踪流量数据。下一步是了解这些应用程序是什么以及员工使用它们的原因。可能是恶意员工使用了检测失败的影子云应用程序并从网络发送数据,但这也可能意味着当前的云服务没有提供所需的所有功能,并且通过使用影子服务,团队确实更有生产力。在这种情况下,服务需要检查它是否可以变得合法。对付使用影子云服务的一个有力武器是对员工进行安全意识培训。只要以值得信赖、有趣且相对礼貌的方式提供培训,企业安全的多个领域都是如此。对于存储在影子云服务中的所有数据,员工都必须做到这一点,即对他们进行风险意识培训,传达哪些服务是合法的,让员工表达某个影子服务是否应该合法,这样可以避免问题发生在来源。尽量避免使用内部资源来提供培训或通过电子学习的诱惑。意识培训需要始终在现场并通过外部人员进行交流,这些人员可以展示正常IT演示范围之外的一些风险,因为这是提高员工接受度的最佳方式。通过准确监控影子云服务使用情况,来复制培训,企业应该开始自己控制云数据。
