信息化觀察網(wǎng)

IDC的一項(xiàng)調(diào)查顯示，云安全問(wèn)題正在急劇惡化，在過(guò)去的18個(gè)月中，近80％的公司至少經(jīng)歷了一次云數(shù)據(jù)泄露，而43％的公司報(bào)告了10次或更多泄露。

根據(jù)參與調(diào)查的300位CISO的反饋，安全相關(guān)的配置錯(cuò)誤（67％），對(duì)訪問(wèn)設(shè)置和活動(dòng)缺乏足夠的可見性（64％）以及身份和訪問(wèn)管理（IAM）許可錯(cuò)誤（61％）是他們最關(guān)注的云生產(chǎn)環(huán)境安全問(wèn)題。

同時(shí)，有80％的人報(bào)告他們無(wú)法識(shí)別IaaS/PaaS環(huán)境中對(duì)敏感數(shù)據(jù)的過(guò)度訪問(wèn)。根據(jù)2020年Verizon數(shù)據(jù)泄露報(bào)告，在數(shù)據(jù)泄露的根源方面，只有黑客攻擊排名高于錯(cuò)誤配置錯(cuò)誤。

盡管接受調(diào)查的大多數(shù)公司已經(jīng)在使用IAM、數(shù)據(jù)防泄漏、數(shù)據(jù)分類和特權(quán)賬戶管理產(chǎn)品，但仍有超過(guò)一半的公司聲稱這些產(chǎn)品不足以保護(hù)云環(huán)境。

事實(shí)上，三分之二的受訪者將云原生授權(quán)和許可管理，以及云安全配置列為高度優(yōu)先事項(xiàng)。

訪問(wèn)授權(quán)過(guò)度容易被忽視

公共云基礎(chǔ)架構(gòu)部署的動(dòng)態(tài)和按需特性往往會(huì)導(dǎo)致用戶和應(yīng)用程序積累超出其合法需求所需的訪問(wèn)權(quán)限。

此外，當(dāng)將新資源或服務(wù)添加到云環(huán)境時(shí)，默認(rèn)配置通常會(huì)授予過(guò)多權(quán)限，這也往往容易被忽視。但這些都是攻擊者的主要目標(biāo)，因?yàn)樗鼈兛捎糜趷阂饣顒?dòng)，例如竊取敏感數(shù)據(jù)、傳播惡意軟件或造成破壞，例如破壞關(guān)鍵流程和業(yè)務(wù)運(yùn)營(yíng)。

根據(jù)參與調(diào)查的300位CISO的反饋，安全相關(guān)的配置錯(cuò)誤（67％），對(duì)訪問(wèn)設(shè)置和活動(dòng)缺乏足夠的可見性（64％）以及身份和訪問(wèn)管理（IAM）許可錯(cuò)誤（61％）是他們最關(guān)注的云生產(chǎn)環(huán)境安全問(wèn)題。

同時(shí)，有80％的人報(bào)告他們無(wú)法識(shí)別IaaS/PaaS環(huán)境中對(duì)敏感數(shù)據(jù)的過(guò)度訪問(wèn)。根據(jù)2020年Verizon數(shù)據(jù)泄露報(bào)告，在數(shù)據(jù)泄露的根源方面，只有黑客攻擊排名高于錯(cuò)誤配置錯(cuò)誤。

盡管接受調(diào)查的大多數(shù)公司已經(jīng)在使用IAM、數(shù)據(jù)防泄漏、數(shù)據(jù)分類和特權(quán)賬戶管理產(chǎn)品，但仍有超過(guò)一半的公司聲稱這些產(chǎn)品不足以保護(hù)云環(huán)境。

事實(shí)上，三分之二的受訪者將云原生授權(quán)和許可管理，以及云安全配置列為高度優(yōu)先事項(xiàng)。

訪問(wèn)授權(quán)過(guò)度容易被忽視

公共云基礎(chǔ)架構(gòu)部署的動(dòng)態(tài)和按需特性往往會(huì)導(dǎo)致用戶和應(yīng)用程序積累超出其合法需求所需的訪問(wèn)權(quán)限。

此外，當(dāng)將新資源或服務(wù)添加到云環(huán)境時(shí)，默認(rèn)配置通常會(huì)授予過(guò)多權(quán)限，這也往往容易被忽視。但這些都是攻擊者的主要目標(biāo)，因?yàn)樗鼈兛捎糜趷阂饣顒?dòng)，例如竊取敏感數(shù)據(jù)、傳播惡意軟件或造成破壞，例如破壞關(guān)鍵流程和業(yè)務(wù)運(yùn)營(yíng)。