信息化觀察網(wǎng)

本文來自微信公眾號“開源云中文社區(qū)”。

企業(yè)中私有云、公共云和混合云的使用量增長不僅促進(jìn)了數(shù)字化轉(zhuǎn)型；它擴(kuò)大了企業(yè)需要保障的基礎(chǔ)設(shè)施。為了安全地使用云并獲得好處，組織需要比以往任何時候都更大、更復(fù)雜的環(huán)境。

在保護(hù)云基礎(chǔ)設(shè)施方面，有四大類安全問題：人為錯誤、運(yùn)行時威脅、影子IT和糟糕的戰(zhàn)略規(guī)劃。了解這些問題及其潛在影響對于組織實(shí)現(xiàn)預(yù)期的業(yè)務(wù)成果至關(guān)重要。

1.人為錯誤

在所有四種類型中，人為錯誤是云漏洞最常受到指責(zé)的一種。根據(jù)Gartner的數(shù)據(jù)，到2025年，99%的云安全故障都是客戶的錯。

這些錯誤通常表現(xiàn)為錯誤配置的AmazonS3存儲桶、打開端口以及使用不安全的賬戶或API。如果不被發(fā)現(xiàn)，它們可以為試圖破壞云環(huán)境的攻擊者打開大門。

解決人為錯誤的一個關(guān)鍵挑戰(zhàn)是可見性。安全性很難跟上支持云的不斷變化和彈性現(xiàn)實(shí)的需要。此外，使用多點(diǎn)解決方案來管理不同云服務(wù)及其內(nèi)部環(huán)境的安全性，使得許多組織難以維護(hù)一致的安全策略和實(shí)施。如果無法識別和糾正不安全的API和錯誤配置，云工作負(fù)載可能會從IT資產(chǎn)變成IT威脅。

2.運(yùn)行時威脅

這一說法也是正確的，因?yàn)樗婕笆褂昧闳章┒垂舻墓ぷ髫?fù)載。

在公共云中，許多底層基礎(chǔ)設(shè)施由云服務(wù)提供商（CSP）保護(hù)。然而，未能理解共享責(zé)任模型的組織（該模型描述了CSP和客戶的責(zé)任）有時會為威脅行為體創(chuàng)造安全漏洞以供利用。這種情況可使攻擊者以操作系統(tǒng)和應(yīng)用程序?yàn)槟繕?biāo)來獲取訪問權(quán)限。從那里，他們可以通過使用惡意軟件或其他技術(shù)獲得持久性，并在整個組織環(huán)境中橫向移動。

除了試圖在環(huán)境中獲得更大的立足點(diǎn)外，對手還可能瞄準(zhǔn)存儲在云中的知識產(chǎn)權(quán)和機(jī)密信息。CrowdStrike威脅研究團(tuán)隊(duì)在今年的眾多違規(guī)調(diào)查中注意到了這一趨勢。即使云工作負(fù)載配置正確，它仍可能容易受到未修補(bǔ)的漏洞和零天數(shù)的影響，這使得運(yùn)行時威脅成為當(dāng)今企業(yè)的關(guān)鍵問題。

3.影子IT

影子IT加劇了可見性問題，其本質(zhì)上繞過了正常的IT審批和管理流程。通常，影子IT不是出于惡意原因創(chuàng)建的。它的創(chuàng)建通常是員工為了完成工作而采用云服務(wù)的結(jié)果。云資源可以輕松地上下旋轉(zhuǎn)，這使得控制其增長變得困難。

這些未經(jīng)授權(quán)的資產(chǎn)可能會威脅環(huán)境，因?yàn)樗鼈兺ǔ]有得到適當(dāng)?shù)谋Ｗo(hù)，并且可以通過默認(rèn)密碼和錯誤配置進(jìn)行訪問。由于云和DevOps團(tuán)隊(duì)希望保持高速，因此獲得安全團(tuán)隊(duì)所需的可見性和管理級別具有挑戰(zhàn)性。

DevOps團(tuán)隊(duì)需要一種無摩擦的方式來確保他們部署安全的應(yīng)用程序，并確保他們的安全解決方案與持續(xù)集成/持續(xù)交付（CI/CD）管道直接集成。安全團(tuán)隊(duì)需要有一種統(tǒng)一的方法來獲取所需的信息，而不會降低DevOps的速度，安全團(tuán)隊(duì)和IT團(tuán)隊(duì)都需要進(jìn)行調(diào)整和協(xié)作，以滿足彼此的需求。

4.缺乏云安全策略和技能

云面臨的最后一個關(guān)鍵安全問題是技能短缺，許多組織內(nèi)部缺乏云安全戰(zhàn)略。因此，許多管理員試圖以保護(hù)本地?cái)?shù)據(jù)中心的方式來保護(hù)云工作負(fù)載。不幸的是，傳統(tǒng)的數(shù)據(jù)中心安全模型不適用于云計(jì)算，糟糕的規(guī)劃可能會帶來新的風(fēng)險和漏洞。

任何云應(yīng)用戰(zhàn)略的一個關(guān)鍵部分都是教育——教育團(tuán)隊(duì)安全最佳實(shí)踐，如如何存儲秘密、如何旋轉(zhuǎn)密鑰以及如何在軟件開發(fā)過程中保持良好的IT衛(wèi)生至關(guān)重要。然而，這一難題常常被忽視。DevOps可能會發(fā)生，但DevSecOps往往不會發(fā)生，這阻礙了行業(yè)實(shí)現(xiàn)云安全的能力。

獲勝意味著規(guī)劃和執(zhí)行

新技術(shù)和云應(yīng)用可能是一把雙刃劍。組織需要它來創(chuàng)新和提高業(yè)務(wù)價值，然而，它并非沒有風(fēng)險。CSO有助于規(guī)劃和執(zhí)行有效的云安全計(jì)劃。憑借良好的規(guī)劃和執(zhí)行準(zhǔn)備，他們處于通過確保業(yè)務(wù)、技術(shù)和DevOps有效交叉來影響增長和減少中斷的首要位置。