随着云计算的发展以包含更多的企业应用程序、数据和流程,企业可能会选择将其安全服务外包给提供商。一项行业调查显示,许多企业需要关注安全问题,而不是将任务交给云提供商。云安全联盟对241位行业专家的调查,揭露了一个“触目惊心”的云安全问题。该调查的作者指出,今年的许多安全问题将安全责任置于用户公司而非服务提供商身上。我们注意到,传统云服务提供商在云安全问题上的排名有所下降。拒绝服务、共享技术漏洞、CSP数据丢失和系统漏洞等问题,以前是备受瞩目的安全问题,现在排名较低。这些表明CSP负责的传统安全问题似乎不那么令人担忧。相反,由于高级管理决策,我们看到更多的安全问题需要在更高的技术堆栈中解决。这与ForbesInsights和VMware最近的另一项调查一致,该调查发现一些公司正试图避免将安全措施移交给云提供商,只有31%的领导者表示他们将安全措施移交给云提供商。尽管如此,仍有94%的公司在某些安全方面采用了云服务。CSA的最新报告强调了今年的首要安全问题:1.数据泄露。该报告的作者指出,数据正在成为网络攻击的主要目标。定义数据的商业价值及其丢失的影响对于拥有或处理数据的企业来说非常重要。此外,他们补充说,保护数据正成为一个谁有权访问它的问题。加密有助于保护数据,但会对系统性能产生负面影响,同时降低应用程序的用户友好性。2.配置错误和变更控制不足。基于云的资源复杂且动态,使得配置具有挑战性。传统的控制和变更管理方法在云中无效。公司应该拥抱自动化并采用持续扫描错误配置资源并实时修复问题的技术。3、缺乏云安全架构和策略。确保安全架构与业务目标保持一致。开发和实施安全架构框架。4.身份、凭证、访问和密钥管理不足。安全帐户包括双因素身份验证和有限的根帐户使用。对云用户和身份实施最严格的身份和访问控制。5.账号劫持。这是一个必须认真对待的威胁。深度防御和IAM控制是减少帐户劫持的关键。6.内部威胁。采取措施尽量减少内部监督有助于减轻内部威胁的后果。为您的安全团队提供培训,以正确安装、配置和监控您的计算机系统、网络、移动设备和备份设备。CSA还敦促“定期对员工进行意识培训”。为您的正式员工提供有关如何处理网络钓鱼等安全风险的培训,并保护他们在公司外部的笔记本电脑和移动设备上携带的公司数据。7.不安全的接口和API。良好的API保证。良好做法包括仔细监督库存、测试、审计和防止异常活动等项目。此外,请考虑使用标准和开放API框架(例如,开放云计算接口(OCCI)和云基础设施管理接口(CIMI))。8.控制面薄弱。企业应该尽职调查并确定他们打算使用的云服务是否有足够的控制平面。9.元结构和应用结构失效。云服务提供商必须提供可见性和风险缓解措施,以抵消租户固有的对云缺乏透明度的影响。所有CSP都应进行渗透测试并将结果提供给客户。10.对云使用情况的可见性有限。风险缓解始于从上到下开发完整的云可见性工作。要求在全公司范围内就公认的云使用政策及其实施进行培训。所有未经批准的云服务必须经过云安全架构师或第三方风险管理人员的审查和批准。11.滥用、恶意使用云服务。组织应该监控他们分配到云端工作的员工,因为传统机制无法减轻使用云服务带来的风险。
