目前,各行各业都在加快迈向云环境的步伐。云带来了无与伦比的可扩展性、敏捷性和可访问性,所有这些在开发人员手中都可以成为真正的竞争优势。但在上云之路上,安全隐患是个不小的绊脚石,数据泄露时有发生。回首2020年,我们会发现,远程办公的普及是云迁移的过程,但也是很多数据泄露事件的根源。尽管备受关注,但大多数现代数据泄露并不像科幻电影中出现的那样“酷”。相反,问题通常源于系统配置错误、身份信息管理不善、数据存储不正确等。如果没有合适的开发人员和运营商的补充,云环境在整个开发生命周期中总是暴露在恶意活动之下。常见的安全风险常见的安全风险通常源于两种类型的用户监督。首先,DevOps可能会下意识地采用传统/现场数据环境中的实践,而没有意识到云远程访问的更广泛影响。其次,其他人可能会忽视或低估安全预防措施在与云的动态功能自由交互时的重要性。缺乏良好的云安全性会导致大量潜在威胁,最终导致全面的数据泄露。权限管理不善会带来麻烦。DevOps在项目开发过程中可能会选择开放对数据库和存储容器中敏感数据的访问权限,然后逐步划定权限范围。这就是所谓“先跑后修”的基本思路。但现实情况是,只要不出问题,“修好”就只是一句空话,敏感数据可能会继续向未经授权的身份开放。这种行为在每一个快速迭代的项目中都被反复强化,最终成为一种新的操作习惯。正因为如此,在实施修复后,一些原有的工作可能会中断,迫使团队回滚到不安全的配置,以便快速恢复和运行,根本没有学习和改进。远程工作会增加受到攻击的风险。如今,许多企业已经将其操作系统转换为远程形式,但对云数据的粗暴处理很可能导致潜在的数据泄露。DevOps可能会暂时禁用防火墙并设置远程访问通道以访问高权限数据,所有这些都大大增加了攻击风险。同事之间沟通不畅,使用云系统的员工可以直接与同事共享数据访问权限,而无需告知对方可能存在哪些敏感数据。因此,正在共享对象的同事可能会为他们启用公共访问权限,从而延长共享周期,从而严重危害云资源的安全。如果云资源管理不当,企业将面临一系列灾难性问题,包括失去客户信任、损害品牌声誉,以及因违反GDPR和CCPA等数据隐私法规而受到法律诉讼。例如,万豪此前曾遭受严重的数据泄露,超过520万条机密访客记录被泄露。这家备受瞩目的酒店可能因违反GDPR要求而面临高达9.15亿美元的罚款。考虑到其他法定处罚,罚款总额可能达到数十亿美元。此外,米高梅也遭遇了类似的数据泄露事件。由此可见,企业构建安全体系迫在眉睫,需要从初期就采用最好的身份管理,帮助企业缓解危机,消除企业普遍存在的各种隐患。大规模采用云服务。建立和实施安全体系许多人认为,云本身就代表着危险和不可信任。实际情况恰恰相反。只要充分利用保护手段,云将带来以往本地基础设施无法比拟的安全性和弹性。事实上,云仍然是开发人员保持竞争优势的理想平台。可以大大降低软件上线和新成果发布的操作门槛。在适当措施的支持下,DevOps团队可以继续利用云资源进行创新,推动业务增长和扩展,同时有效避免数据泄露的风险。安全体系的建立和实施,将帮助企业内的开发者建立完善的防范措施,通过优化、创新、安全、合规等手段保护高权限账户,从而提升数据治理水平。基于此,这些安全要点需要注意:永远不要将实时数据纳入实验;始终加密数据以获得额外的安全支持;使用隔离的云帐户进行测试;不要重复使用身份;优先考虑高级IAM控制作为边界,用户身份受到密切监控,这也是现代云攻击面的一个重要因素;将安全嵌入到问答过程中,以确保对云环境采取适当的预防措施。其核心是建立问答清单,在清单中标注重点合规和安全问题,优化身份管理。即使拥有最强大的安全系统,如果不消除人为错误和疏忽,我们仍然无法获得预期的结果。因此,企业应考虑在现有安全体系的基础上,建立自动化的云安全与合规解决方案。自动化流程持续监控每个云身份,确保数据安全,同时帮助开发人员专注于他们的工作。此类解决方案还将提供对细微配置错误和其他潜在数据威胁迹象的实时洞察,帮助我们快速准确地制定补救措施。云服务的普及使组织蓬勃发展,使员工能够轻松创新,还通过身份和数据治理带来了新的安全理念。因此,我们必须从“命令和控制”的方法转变为“信任但验证”的过程。云时代最好的数据治理策略需要为员工提供规则,并为他们建立可靠的系统,以确保他们能够充分信任这些系统,并以此为基础来处理其他更复杂的业务问题。人为错误可能永远无法避免,数据迟早总会面临风险。但在恶意行为发生之前先发制人的实际能力最终将决定成败。
