關於雲計算中的數量洩漏的數量和規模每天都在增加,對受影響者的潛在影響也在增加(洩漏數據的企業和與數據有關的人)。新聞標題應該更多地關注所涉及的數據的數量和類型,而不是根據相關品牌的知名度來判斷洩露是否值得媒體關注。
知名數據分析和營銷公司Novaestrat最近暴露了一個不安全的Elasticsearch服務器,可能會洩露近2100萬人的數據。這個數字包括重複的記錄和過時的記錄,但考慮到厄瓜多爾的人口是1660萬,這是一個巨大的數字!
洩漏的AWS S3存儲桶可能是雲中不安全數據最常見的犯罪現場,LionAir是最新的S3暴露示例。該公司留下了一個暴露的AWS存儲桶,其中包含數百萬乘客的個人身份信息(包括護照號碼)。在這些事件中,知名企業往往潛伏在供應鏈中知名度較低的企業背後。在最近的另一個例子中,數據公司Attunity將屬於Ford、Netflix和TD Bank的數據放在了可以公開訪問的S3桶中。
我還可以舉出更多的例子,但這個練習並不能回答根本問題:為什麼這些事件繼續發生?
第四次雲安全聯盟頂級威脅報告(2019年)顯示,我們中的許多人並不是對風險視而不見。241行業專家將數據洩露、雲基礎設施配置不當、缺乏雲安全架構和戰略列為雲使用的三大風險。當然,並非所有的企業雲消費者都是專家,但負責雲基礎設施的大多數人至少是專家。因此,假設雲威脅的風險得到了理解,我認為仍有太多企業沒有完全理解“共同責任”模型。共享責任確定了雲服務提供者的職責結束的地方(雲的安全性),以及客戶的職責開始的地方(雲中的安全性)。一個微小的介詞會產生巨大的不同!
在理想的世界中,這個模型應該非常簡單,但是不幸的是,我們的世界離理想還很遠(而且不僅僅是在信息安全方面)。太多的企業忽視了它們在“雲”數據安全方面的職責。就在本週,一項新的研究顯示,只有32%的企業認為保護雲中的數據是他們自己的責任。在許多情況下,這種共同的責任被供應鏈的複雜性進一步“蒙上陰影”,正如我們在上面的例子中看到的那樣。通常是第三方——而不是數據所有者——應該執行所有必要的措施來“保護”雲中的數據。太多時候,存在著一種隱性的信任鏈,被放錯了地方,帶來了災難性的後果。這些漏洞進一步證實了供應鏈安全應該是安全戰略的核心要素,雲安全戰略也不例外。
儘管企業機構正在快速地向雲轉移,安全心態和策略(簡而言之,周長的概念)仍然是內部的。這既是整個企業的錯,也是個人的錯,他們繼續忽視一個事實:雲中的錯誤配置可能會將數據暴露給超過32億人。在過去,我們常常懇求人們不要在他們的顯示器上留下便利貼,這樣他們的辦公室同事就可以看到密碼了。我的第六感告訴我,這個問題並沒有消失,但與暴露在可公開訪問的雲存儲桶中的整個數據集相比,它現在顯得蒼白了。
企業需要重新定義雲中的數據安全概念,加強對數據的安全控制,並以一種以數據為中心的、雲智能的、足夠快的方式重新規劃它們的邊界,使其不妨礙生產力或創新。
