由于云配置错误导致的数据泄露越来越多地成为头条新闻。随着云创新步伐的加快,开发安全事件时有发生。根据云基础设施供应商VMware和云安全联盟的联合调查,17%的企业组织报告了2020年配置错误导致的云安全漏洞。该研究强调,缺乏云安全知识、团队协调、风险可见性和速度是阻碍企业安全团队实施云安全配置的四个主要挑战。1.缺乏云安全知识当被问及为什么无法解决导致漏洞的云配置错误时,59%的受访者表示,缺乏云知识是云安全面临的挑战。目前,在大多数组织中,整个组织的安全培训负担落在IT团队身上,有时会看到一个安全架构师支持整个组织的数百名开发人员和其他IT员工。云安全专家的稀缺可能会导致整个组织出现一连串的安全问题,但很难找到熟悉云安全且经验丰富的员工。2.团队分散近一半(49%)的受访者表示,他们的信息安全、IT运营和DevOps团队在云安全战略上并不一致。企业组织的云安全治理需要不同团队的参与,但每个团队的安全或合规目标略有不同。未能保持一致的治理策略是一种安全或合规风险。尝试平衡开发速度和安全治理至关重要这对开发人员来说是一个棘手的问题。在此背景下,组织应考虑建立集中的云卓越中心或跨职能团队,以支持和管理组织内云战略的执行。3.风险可见性差63%的受访者表示他们的组织无法防止云安全漏洞的主要原因是缺乏对错误配置的可见性,91%的受访者表示他们的组织目前正在使用解决方案来检测和修复错误配置。企业组织无法有效识别错误配置的原因是一般的云提供商提供一些云安全服务。在这种情况下,企业安全团队常常对需要承担的云安全责任感到困惑。在自我问责方面,企业安全团队需要更广泛、更深入地了解云服务的风险。这意味着企业安全团队需要使用适当的策略来监控云提供商、账户和服务。他们需要深入了解各种云资源、配置依赖关系以及黑客可以用来访问数据或控制云环境的许多路径。目前,业界缺乏有效的解决方案来提供全面的安全支持。即使企业安全团队有监控云的解决方案,也可能没有很好的风险可见性。4.反应迟缓众所周知,网络罪犯可以在几分钟内快速识别和探测暴露在互联网上的云资产。因此,企业安全团队识别和修复错误配置的速度对于避免云安全漏洞被利用至关重要。不幸的是,调查发现大多数组织的云安全流程都滞后。将近一半(44%)的受访者表示需要一天多的时间才能检测到错误配置,而63%的受访者表示需要一天多的时间才能解决风险。在这种背景下,安全左移——提倡在软件开发的早期阶段引入安全,使开发人员能够在代码生产之前修复错误配置就显得更加重要,应该成为企业安全团队的首要任务。然而,没有一种实施方法是万无一失的,开发人员不可能捕捉到所有错误,因此组织必须通过实时安全监控解决方案来补充DevSecOps方法,以有效管理云风险。由于人为因素导致的错误配置是云安全漏洞的主要原因。当然,使开发人员能够安全地使用云并降低错误配置的风险仍然具有挑战性。企业安全团队提高云安全性的最快方法之一是从其他人所犯的错误中吸取教训。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
