云是否在诱使我们对自己的安全沾沾自喜?换句话说,我们对云服务的依赖是否让我们不如以前安全?自事件爆发以来,最近的CapitalOne违规事件在不到一天的时间内登上了众多头条新闻。不幸的是,就在宣布和解协议几天后,该公司已为历史上最大的数据泄露事件Equifax预留了7亿美元的和解金。但回到CapitalOne,肯定有很多教训要吸取。我想重点谈谈CapitalOne的数据中心在哪里,以及从安全角度来看这对地球其他地方意味着什么。CapitalOne一直是AWS最直言不讳的客户之一。他们出现在许多AWS活动中,并吹捧他们如何完全关闭所有数据中心并在亚马逊上独家运行它们。公平地说,他们还分享了他们的最佳实践和AWS服务的使用情况。然后发生这种情况。所以问题来了:如果AWS最精明的客户之一可能遭受如此大规模、令人尴尬的数据泄露,那么所有AWS(和非AWS)客户都应该担心……采取积极措施解决佩戴某些东西对云安全的影响。换句话说,对云的依赖会让我们对安全感到自满吗?1.一时兴起从机架和堆栈发展起来每个大中型企业都有一个或多个专用数据中心,并建立新的服务器或机架时代,涉及布线、电源、冷却以及广泛的网络和安全重新配置。这可能需要数周时间。现在是询问基本和复杂安全问题的好时机。今天,计算、存储、无服务器……一切都是按需提供的。云爆发和数据存储既便宜又快速。一切都加速了很多倍。因此,除非安全性包含在流程蓝图中,或者由云提供商作为默认设置提供(例如,AWS在许多报告的不安全数据存储事件后默认加密S3存储桶),否则它很容易迷失在噪音中。2.共享责任模型非常具有描述性,只是它可能会被归类为遥远的记忆“云中的安全”,而广受好评。但AWS发布功能的速度如此之快,以至于很容易想到朗朗上口的名字——Greengrass、Lambda、ControlTower——并深入研究它们而忘记了“云”和“云责任”之间的区别。这种疏忽可能会付出高昂的代价。3.没有两块云是一样的,做多云需要额外的努力和关注负担来了。投资于跟上最新和最好的,然后知道如何使用它。但从安全的角度来看,挑战要大得多。为什么?因为尽管责任共担模型应固有地适用于所有云——AWS、Azure、谷歌等——实施和风险归因可能千差万别。例如,基础架构管理员是否有能力窃取虚拟机。或者,如果数据存储是加密的,只有最终客户拥有主密钥,还是云提供商也持有该密钥?答案通常在不同的云之间非常不同。因此,共享责任模型也是特定于云的。这是与云安全相关的三个挑战,从安全和隐私的角度来看,这是一段不太明显的旅程。那么,企业是做什么的呢?减缓或停止云采用。答案很明显。相反,定期问自己以下问题:1.我最近是否在我的企业的所有主要公共云上确定了所有已批准和未批准的云工作负载(有用于此发现的工具)?2.提醒你和你的团队之间的“责任共担模型”,对于所有的云工作负载,问“在云中”的安全意味着什么。对于云连接的物联网传感器和无服务器计算引擎,答案可能大不相同。3.最后,在您的组织中培养专家,或聘请值得信赖的第三方,以提供关于您如何从安全和隐私的角度处理功能的多云差异的持续培训。又贵又费时?是的。有关系吗?绝对地。在接下来的几周和几个月里,我们将了解有关CapitalOne漏洞的更多信息。但借用他们的营销标语,不断问自己“你的云中有什么”这个问题?
