好像传统的传统领域中没有足够的安全风险,云呈现出一些独特的漏洞。“云,”虽然是一个致力于单一的短语,是很多事情有多种形式.从基础设施(IaaS)和平台(PaaS),到软件即服务(SaaS)产品。每个新服务都在集成和安全性方面带来了新的挑战。记住,这只是一种特殊意义上的云景观。那么拥有许多公共、私有和/或混合云的组织呢?亚马逊网络服务(Amazon Web Services, AWS)、微软Azure和谷歌云平台(谷歌Cloud Platform, GCP)的出现为这一领域提供了选择。作为一个结果,多云架构正在给已经很复杂的安全模型带来新的挑战。这让云运营商和管理员在发展正确的安全态势方面都摸不着头脑。因此,在不作进一步赘述的情况下,这篇博客试图回答——云计算的安全风险是什么?
在讨论多云安全之前,让我们考虑一下什么是安全以及它为什么重要。描述安全最简单的方法之一是,它基本上就是保险。这在一定程度上是正确的。保险是你购买的服务之一,希望你永远不会使用它。同样,组织实施安全程序也很少是因为他们想要这样做,而是因为预期会出现漏洞。这里的关键是,一个适当的安全程序是主动的。它积极地帮助组织避免对其数据、员工和声誉的威胁。重视安全性的组织可以将其转变为支持业务的资产。这意味着,它不仅仅是风险管理投资组合的一部分。
数据治理的风险
IT安全专家在数据完整性讨论中只有这么大的影响力。考虑到这一点,各种规模的组织都需要实现健壮的数据治理模型和策略。数据治理确切地定义了一个组织拥有什么数据,如何使用,如何管理。这些组织范围的框架还概述了存储权威数据的系统和位置。以及确定谁可以访问它和其他元属性。
不同的部门使用不同的数据,根据不同的假设做出不同的决定,可能会对他们的组织造成严重破坏。您为单一位置或以云为中心的公司创建的安全策略和框架不能在真空中开发。你必须吸引广泛的利益相关者。您的安全策略将交叉这些其他工作,将通知它们,并由它们通知。
人为错误的风险
访问管理是云安全最关键的领域之一,组织需要非常仔细地计划,以确保良好的安全态势。道琼斯客户情报研究(Dow Jones Customer Intelligence research)发现,“68%的公司高管事后认为,如果实施更成熟的身份和访问管理策略,这种入侵本可以避免。”不幸的是,即使有一个有效的流程,仅有特权的凭证通常也不是解决方案。大量的漏洞涉及特权凭证。这表明一旦边界被打破,通过具有较低访问权限的员工,最终将获得具有管理访问权限的人员的凭据。对此的一种防御是使用多因素身份验证。在接下来的一年里,你将会看到更多的移动设备认证应用。
为了确保基础设施和数据的安全性,设计一个强大的RBAC(基于角色的访问控制)策略以及一个目录服务来管理集中访问是很重要的。构建策略以确保您的员工对他们需要访问的内容具有最不特权的访问权限。制定基于需求的访问策略,使员工只能在有限的时间内访问特定的资源,并在一定时间后访问过期。根据您的业务需求,每季度或每年进行一次定期审计,以确保系统中只有有效用户存在。
请记住,IT不再完全控制云基础设施的供应、解除供应和操作。这种分散的所有权增加了IT团队提供保护其业务所需的遵从性和风险管理策略的复杂性。IT部门需要找到新的方法来施加软控制来保护业务,同时又不抑制涉众现在期望的云的敏捷性。
共享安全模型的风险
如果您使用任何容量的数据,您可能听过有人说:“安全是每个人的责任。”老实说,这是真的。显然,我们刚刚认识到,在云安全方面,个人的影响是多么重要。这在群体环境中会成倍放大。为了保护任何规模的企业免受日益增长的威胁,每个人都必须保持一定程度的意识,并在抵御坏人方面发挥自己的作用。尽管与所有的IT事物一样,还有一些细微的差别。不同的人有时会有不同的想法,在完成工作和确保安全是首要和中心的界限。太多的人认为,迁移到云计算将他们从某些义务(如备份和安全)中解脱出来。他们的理由是云提供商处理这些功能。
这是一种危险的想法,会让你暴露。在云计算世界中,共享责任意味着您的组织保留环境某些方面的安全责任,而云计算提供商处理其他方面的安全责任。提供者确保其服务是安全的。提供者确保您正在使用的服务受到保护,包括硬件和软件。但是,您将对在云中操作的应用程序和数据负有重大责任,包括保护支持应用程序的操作系统、网络和防火墙。你能想象如果大型公共云提供商被迫控制客户所做的一切,仅仅是为了确保它的安全,将会带来怎样的混乱吗?云提供商保护它所提供的,但您负责其余的工作。
那么,现在该怎么办?
如果您对这些领域的安全态势没有信心,也不要担心。Nutanix在这里提供帮助。我们最近和威利出版公司合作制作多云安全傻瓜电子书.我们提供知识和故事,以帮助您寻求为您的组织提供最好的安全态势。这本电子书将帮助您保护您的多云环境,同时使您的业务成功的活动。
©2019 Nutanix, Inc.保留所有权利。本协议中提到的Nutanix、Nutanix标识和其他Nutanix产品和特征均为Nutanix, Inc.在美国和其他国家的注册商标或商标。此处提及的所有其他品牌名称仅供识别之用,且可能为其各自持有人的商标。