越来越多的企业应用、数据和流程迁移到云端,终端用户越来越倾向于将安全外包给云提供商。行业调查显示,许多企业认为他们需要自己控制安全,而不是将最终责任委托给云提供商。在咨询了241位行业专家之后,云安全联盟(CSA)在其名为“Eregious11”的调查报告中列出了11项主要的云安全问题。调查的作者指出,今年许多紧迫问题的安全责任已转移到最终用户公司而不是服务提供商。“我们注意到云服务提供商负责的传统云安全问题的排名有所下降。之前“Treacherous12”报告中出现的问题,如拒绝服务、共享技术漏洞、云服务提供商(CSP)数据丢失和系统漏洞等,现在排名如此之低,直接被排除在本报告之外.不存在这些问题表明CSP负责的传统安全问题似乎不那么令人担忧。相比之下,高层管理决策产生的安全问题,也就是技术栈更高层的安全问题,更需要我们去解决。”CSA的研究结果与ForbesInsights和VMware最近的另一项调查一致:积极主动的公司正在接受抵制将安全信任托付给云提供商的诱惑——只有31%的高管信任云提供商的许多安全措施。但仍有94%的受访者使用云服务来处理一些安全问题。最新的CSA报告强调了今年的首要问题1.数据泄露。“网络攻击越来越多地针对数据。对于拥有或处理数据的企业而言,确定其业务价值和数据丢失的影响至关重要。此外,数据保护正在成为谁有权访问它的问题。加密有助于保护数据,但会对系统性能产生不利影响并降低应用程序的易用性。”2.错误配置和变更控制不足。“云资源复杂且高度动态,使得供应变得困难。传统的控制和变更管理方法不再有效“在云环境中。公司应该积极实现自动化并采用技术来持续扫描资源配置错误并实时修复问题。”3.缺乏云安全架构和策略。“确保安全架构与业务目标保持一致。制定并实施安全架构框架。”4.缺乏身份、凭证、权限和密钥管理。“使用双因素身份验证并限制root账户的使用,以保护账户安全。对云用户和云身份采取最严格的身份和访问控制措施。”5.账户劫持。这是必须应对的威胁。“纵深防御和身份和访问管理(IAM)控制是缓解账户劫持的关键。”6.内部威胁。“采取措施尽量减少内部监督有助于减轻内部威胁的影响。为企业安全团队提供正确安装、配置和监控计算机系统、网络、移动设备和备份设备的技能培训。此外,普通员工还需要进行安全意识培训,教会他们如何应对安全风险,比如如何应对网络钓鱼,以及如何保护他们留在笔记本电脑和手机上的公司数据。”7.不安全的接口和API。“保持良好的API安全态势。在这方面,可以采用的良好实践包括尽职调查监控库存、测试、审计和异常活动保护等项目。此外,可能值得考虑采用标准的开放API框架(例如,开放云计算接口(OCCI)和云基础设施管理接口(CIMI))。”8.控制面薄弱。“云客户应该进行尽职调查,以确定他们打算使用的云服务是否有足够的控制平面。”9.元结构和应用程序结构故障。“云服务提供商必须提供可见性并公开缓解措施,以抵消云计算中固有的租户透明度不足的问题。所有云服务提供商都应该进行渗透测试,并将测试结果提供给客户。”10.对云使用情况的可见性有限。“风险缓解始于完整的自上而下的云可见性。需要在公司范围内就公认的云使用政策及其执行情况进行培训。所有未经批准的云服务必须由云安全架构师或第三方风险经理审查和批准。”11.滥用和恶意使用云服务。“企业应该监控员工在云端的行为,因为传统机制无法减轻使用云服务带来的风险。”
