全球知名的信息安全廠商McAfee公司日前發佈了雲採用和風險報告,該報告分析了匿名客戶在雲平臺運行所遭遇的數十億個安全事件,以評估雲計算部署的當前狀態,並發現風險。該報告顯示,雲中近四分之一的數據可歸類為敏感數據,如果數據被盜或洩露,組織將面臨風險。
雲中的數據
這個研究發現,雖然組織積極採用公共云為其客戶創建新的數字體驗,但通常每個企業的基礎設施即服務(IaaS)和平臺即服務(PaaS)每月遭遇2,200多次錯誤配置事件。
雲計算服務提供商主要關注雲平臺本身的安全性,而不是客戶數據或客戶對其基礎設施和平臺的使用。組織始終負責保護他們無處不在的數據,因此強調需要部署跨越整個雲平臺範圍的雲安全解決方案,從SaaS(軟件即服務)到基礎設施即服務(IaaS)和平臺即服務(PaaS)。
McAfee公司雲計算安全業務高級副總裁Rajiv Gupta表示,“在雲中運營業務已經成為組織的新常態,以至於企業員工在雲中存儲和共享敏感數據時沒有謹慎考慮。SaaS雲服務中的意外共享、協作錯誤、IaaS/PaaS雲服務中的配置錯誤以及威脅都在增加。為了繼續加速業務發展,企業需要採用雲原生並且沒有不良影響的方式持續保護其數據,並防禦各種SaaS、IaaS和PaaS中的威脅。”
雲協作是一種祝福也是一種詛咒
雲計算服務通過快速擴展的能力為組織業務發展提供了一個重要的機會,使企業能夠靈活地利用其資源,並提供新的協作機會。像Box這樣的雲計算服務和Office 365等生產力套件用於提高協作的流動性和有效性。但是,協作意味著共享,不受控制的共享可能會暴露敏感數據。調查結果表明:
•22%的雲計算用戶在外部共享文件,同比增長21%。
•通過開放、可公開訪問的鏈接共享敏感數據,同比增長了23%。
•發送到個人電子郵件地址的敏感數據也同比增長12%。
為了保護雲存儲、文件共享和協作應用程序中的敏感數據,組織必須首先了解其正在使用的雲服務,保存其敏感數據,以及如何共享這些數據以及與誰共享。一旦組織獲得了這種可見性,他們就可以執行適當的安全策略,禁止將高度敏感的數據存儲在未經批准的雲服務中,並提供防護措施,防止不合規地共享來自獲得批准的雲計算服務的敏感數據,例如與個人電子郵件共享數據時地址或通過公開的公共鏈接。
IaaS和錯誤配置的風險
使用SaaS,保護數據、用戶身份和數據訪問主要是客戶的責任。通過IaaS,客戶可以承擔更大的安全責任,其中包括數據、身份、訪問、應用程序、網絡控制和主機基礎設施。雖然這為客戶提供了更好地控制其雲計算基礎設施的機會,但它也增加了組織的安全風險表面積以及他們對此的責任。IaaS提供商(如AWS)提供多種基礎設施和平臺服務,每種服務都具有深入而複雜的安全設置。放大IaaS/PaaS安全挑戰的事實是,組織使用多個IaaS/PaaS供應商的服務運行每個供應商產品的多個實例。McAfee公司的調查研究發現:
•使用IaaS/PaaS服務中,94%採用的是AWS公司的雲平臺,但使用IaaS/PaaS的組織中,78%的企業同時擁有AWS和Azure的雲平臺。
•企業平均每次運行14個配置錯誤的IaaS /PaaS實例,導致每月發生2,200多個單獨的配置錯誤事件。
•五分之一的AWS S3存儲桶具有全局讀取權限,使其對公眾開放。
McAfee公司建議,組織需要不斷審核和監控其AWS、微軟Azure、谷歌雲平臺和其他IaaS /PaaS配置,同時保護存儲在IaaS/PaaS平臺中的數據。作為本地數據中心的替代方案,IaaS /PaaS的使用量正在迅速增長。在遭遇安全事件之前,企業需要盡到他們的安全責任,採取數據保護和威脅防禦措施,就像他們對SaaS雲計算服務以及IaaS/PaaS雲計算服務的配置合規性和安全保護工作負載一樣。
雲計算威脅將會持續增長
用戶帳戶和企業內部遭遇的威脅
企業在雲中數據的大多數威脅都來自受損帳戶和內部威脅。平均每個月在雲中產生超過32億個安全事件。此外:
•雲中的威脅事件(如受感染的帳戶、特權用戶或內部威脅)同比增長27.7%。
•80%的組織每月至少經歷一次受到破壞的帳戶威脅。
•在Dark Web上92%的企業盜取了雲計算憑證。
•Office 365中的威脅同比增長了63%。
企業為了應對組合帳戶和內部威脅,應該瞭解如何使用雲計算服務。它們還應識別異常行為,例如同一用戶同時從不同位置訪問雲平臺時,這可能表示帳戶受到威脅。
作為保護雲中數據的第一步,應實施雲計算訪問安全代理(CASB)。雲計算訪問安全代理(CASB)是雲原生服務,可為雲服務實施安全性、合規性和治理策略。它們可以幫助組織在適當的情況下利用和擴展現有的安全控制,並在適當的時候定義和部署新的雲本地安全控制,以使企業能夠始終如一地保護其數據並防禦SaaS、IaaS和PaaS中的各種威脅。
閱讀更多 企業網D1Net 的文章
