如今几乎每个企业都采用了云服务。云迁移的兴起始于过去十年。COVID-19大流行期间远程工作的激增扩大了对面向业务的云服务的需求。过去只使用单一云服务的企业现在正在转向具有边缘计算能力的多云和分布式环境。云安全从一开始就是一个问题。尽管云服务提供商竭尽全力为其服务提供安全保护措施,但不幸的是,安全漏洞事件仍然时有发生。然而,对这些事件的深入研究表明,许多漏洞并非源于云服务提供商,而是源于最终用户对这些服务的错误配置。下面探讨了常见的用户错误配置以及用户可以采取哪些措施来更好地保护他们运行的云计算环境。云服务中的安全事件云服务中安全事件的统计数字是惊人的。根据一家研究机构在2021年对250多名IT专业人员进行的调查,超过一半的企业都经历过与云服务相关的安全事件。而这个统计结果可能低估了安全事件的实际数量。许多是备受瞩目的安全事件,损害了一些知名公司的声誉和业务。例如,亚洲最大的云计算提供商遭遇数据泄露,导致超过11亿条与该公司购物平台相关的记录被泄露。美国的云计算提供商也有很多数据泄露事件。2021年初,微软Azure云服务的一次错误配置泄露了十多家已提交与微软合作提案的公司的机密信息(包括源代码)。2020年底发生的另一起安全事件导致超过50万条包含高度敏感个人信息的记录被曝光。虽然2021年MicrosoftAzure漏洞是由于微软自身的错误配置造成的,但大多数漏洞都是由于客户的安全措施不足造成的。例如,最近涉及亚马逊S3云服务的数据泄露事件。为旅游业提供服务的PrestigeSoftware错误配置了其AmazonS3服务,暴露了Booking.com、Hotels.com和Expedia等热门旅游网站用户十年来积累的数据。然而,最广为人知的数据泄露事件可能是2019年对亚马逊AWS客户C??apitalOne的攻击。该漏洞暴露了超过1亿客户的个人数据,包括社会安全号码、信用卡号码和信用评分等高度敏感的信息。那么问题的根源是什么?CapitalOne的防火墙配置错误。这些只是近年来发生的重大数据泄露事件的冰山一角。它们应该作为对主要云计算提供商和云计算用户的警示。虽然企业可以而且应该能够依赖云提供商的安全措施,但仅靠这一点是不够的。作为综合内部网络安全计划的一部分,组织必须正确配置其云计算环境。避免云服务的错误配置防止错误配置需要在使用的所有阶段共同努力,从最初的合同签署到持续的维护和更新。以下是企业应采取的几个步骤,以最好地保护其云服务。云服务配置问题可能在实施过程的早期出现,原因很简单,因为企业没有完全理解他们的职责。云计算提供商和客户之间的责任划分通常取决于云计算提供商是IaaS还是SaaS提供商。知道谁有什么责任IaaS提供商(例如AWS、谷歌云、微软Azure、阿里云等)通常有一个责任共担模型。支付卡行业数据安全标准(PCI-DSS)是电子商务公司的主要数据安全协议之一,它特别强调了云计算提供商和用户在确保PCI合规性和保护共享云平台中的消费者金融数据方面的重要性责任。IaaS客户在使用这些服务时需要清楚地了解其责任的全部范围。第一步是让所有相关IT和网络安全人员了解服务协议。了解云计算提供商提供的用于配置服务的工具和支持也很重要。相比之下,SaaS提供商(例如Salesforce、Workday、Square)往往承担大部分安全责任。尽管如此,IT和网络安全专业人员仍应审查服务许可协议,以确保满足任何必要的安全要求。了解常见配置和安全问题在与云服务提供商签订协议之前,企业应该了解其可能面临的主要安全问题。所有云服务提供商都提供大量文档(例如AWS安全文档),其中大部分在互联网上是公开的,即使对于不使用这些服务的企业也是如此,因此需要对配置的复杂性有充分的了解云服务和潜在的陷阱。此外,简单的Internet搜索可以帮助识别配置和使用云服务的挑战。除了在线文档之外,云服务提供商还提供对赞助的技术支持论坛的访问,这些论坛专门针对任何给定云服务的特定问题,并包含有关遇到的问题和解决方案的有用信息。创建配置模板IT行业有一句格言,“如果它没有坏,就不要修复它”,这句格言适用于云计算配置。一旦企业为现有的云服务创建了有效且安全的配置,它们就可以成为其他服务的模板。这并不意味着现有配置可以简单地应用于每项服务。相反,每项新服务都值得特别关注。但这确实意味着企业可以通过从一些安全设置入手来简化配置过程。但是,企业在从本地系统过渡到云服务时需要注意他们采用的模板。尽管可能存在相似之处,但它们仍然在不同的操作环境中运行。HostingCanada的网络开发人员GaryStevens表示,云托管正因此而越来越受欢迎。“云托管与虚拟专用服务器(VPS)有一些相似之处,但主要区别在于虚拟专用服务器(VPS)分布在大量计算机上,而不是拥有自己的专用物理地址,”史蒂文斯说。组织拥有他们认为安全的配置后进行测试和更新,并且必须尽可能频繁和严格地测试它们。测试可以发现以前可能没有考虑过的问题。如果能进行自动化系统测试就更好了。企业还需要更新他们的配置以反映云服务的使用或变化。正如旧版本的软件应用程序为黑客提供了访问公司网络和系统的权限,过时的配置也会造成不必要的漏洞。结论云计算应用程序将继续增加,这是有充分理由的。云计算技术为企业提供了更高的效率和更多的功能,可以帮助他们更好地开展业务。通过努力和关注,企业可以确保他们使用云服务对他们自己和他们的客户来说都是一种安全的体验。
