“AI 技术+人才”如何成为企业增长新引擎?戳此了解>>> 了解详情
写点什么

7 大最致命的云安全盲点

  • 2019-09-10
  • 本文字数:2482 字

    阅读完需:约 8 分钟

7大最致命的云安全盲点

云计算的好处在其创新性,但近来负责 IT 安全的各个组织也发现,在这个云越来越普及的时代,网络安全遇到许多障碍。网络安全面临的许多重大挑战都与安全可见性相关,本文介绍了导致这些可见性问题的一些最致命的云安全盲点。



当下在提供 IT 服务的方面,云计算正从一个可选项进化为事实上的标准选项。根据“2019年公共云趋势”,从这份企业战略集团(ESG)的报告来看,IaaS 环境的使用率在过去的 8 年里急剧上升,组织的使用率从 17%上升至 58%,而且来自高达 39%的机构报告他们在所有的技术部署中有”云优先“的态度。


当然,这对创新来说是件好事,但是对从事网络安全的组织而言,它们一直在挣扎着试图努力追赶日新月异的云技术、架构和用例。他们面临的许多重大挑战都与安全可见性相关。在云安全联盟(Cloud Security Alliance)最近的一份报告中,拥有公共云资产的公司中,有四分之三的公司表示,安全可见性的缺乏是一个主要挑战。


下面是导致这些可见性问题的一些最致命的云安全盲点。

一、业务-管理 IT

无论是绕过 IT 部门私自搭建部署的“私营 IT”(shadow IT),还是员工用智能设备或云服务私下备份数据的"盗贼 IT"(rogue IT),这些已经成为过去。


如今,许多将 IT 视为创新驱动因素的组织,其麾下业务相关人员购买和管理云资产的技术购买模式,已经被冠以“业务-管理 IT”这个铿锵有力的名号。“Harvey Nash/KPMG(毕马威)CIO 2019年调查”就提到了这一点。该调查报告称,如今超过三分之二的组织要么鼓励,要么允许这种“企业-管理 IT”。原因是,采用这种 IT 措施的公司在市场上击败其竞争对手的可能性会提高 52%,而提供积极员工体验的可能性则提升了 38%。


问题是,如果没有 IT 或网络安全专家的密切合作,这些草草动工的云技术“竖井”可能成为这些组织安全上的巨大盲点。固然这些组织的创新速度变得更快,但调查也显示,这些组织在多个领域中面临安全风险的可能性是其他组织的两倍。

二、云平台错误配置

对互联网服务(Internet-as-a-service,IaaS)的依赖和对云数据存储的错误配置,是导致当下一些最具破坏性的云入侵和数据外泄的主要原因。无论是错误地关闭了云提供商标准化的默认安全设置,还是使用了默认密码,或者对某些服务允许不受限制的访问,以及其他种种原因,错误配置问题都会带来大量隐藏的风险,而这些风险往往只有在令人尴尬不已的事件发生之后才会出现在新闻标题中。


根据最近的《2019年云安全报告》显示,大约有 40%的组织表示,云平台配置不当是他们最担心的网络安全问题。


三、混合架构

根据云安全联盟最近的一份报告,大约 55%的组织当前运行的是使用混合架构的、非常复杂的云计算环境。虽然这样的环境设置为大型组织逐步过渡到云平台提供了一种较好的方法,但它同时也带来了许多安全可见性方面的挑战,因为组织很难跨越整个系统架构去跟踪所有资产,或者跨越混合云复杂的无数连接对各种活动进行监控。


事实上,Firemon 今年早些时候发布的一份报告显示,80%的组织都面临挑战——用于监控和管理安全性的工具在混合架构环境中有诸多限制,且复杂性过高。

四、从多家云供应商采购

云安全联盟的这份报告还显示,越来越多的组织正从多家云供应商进行采购,这些组织搭建的云依赖于来自多家供应商的云环境。据估计,大约 66%的组织拥有多家供应商的云环境,而且 36%的组织同时依赖于多家供应商和混合技术。


这样的状况进一步搅浑了安全专业人员所看管的一池水。Securosis 的分析师、云安全公司 DisruptOps 的产品副总裁 Rich Mogull 写道:“如今安全专业人士所面临的问题是,不同的供应商之间安全方面的模型和控制千差万别,还普遍缺乏详细的文档说明,而且不同的云产品完全不兼容。”


他还说:“如果有人告诉你,他们能在几周或几个月的时间里,通过寥寥几节培训课程就能领会到这些细微差别,那他要么是在撒谎,要么就是无知。要真正做到理解哪怕知识一家云供应商关于安全性的各种复杂细节,也需要多年的亲身实践经验。”

五、容器和容器编排

为了支持软件开发中持续集成/持续交付(CI/CD)的飞速改进和发展,如今许多组织都充分利用了短时运行的容器所带来的灵活性和可扩展性,在云计算中容器化工作负载和容器编制(container orchestration)的使用率正在以火箭式的速度飞涨。


但是像 Kubernetes 这样的新平台,正在向云环境不断引入新的错误配置和漏洞,而且这些隐患引入的速度之快,甚至超过了安全团队完全理解相关容器技术工作原理的速度。根据最近由 AimPoint Group 代表 StackRox 所做的研究报告,目前 40%的组织仍然处于容器环境安全策略的规划或初级部署阶段,另有 19%组织根本没有任何安全策略可言。

六、暗数据

非机密和非托管数据,也称为“暗数据”(dark data),是当今大多数企业面临的一个巨大问题,无论这些数据是存储在企业本地设备中还是在云环境中。由于无法对未知资产实施安全措施,组织实际上很难对暗数据进行有效的保护。



根据 Vanson Bourne 最近为 Veritas 进行的一项调查,暗数据的问题在公共云环境中尤其严重,五分之三的公司表示,他们对公共云中所存储数据的加密还不到一半比例。

七、取证和威胁追踪遥测技术

目前安全团队正在抗争的一些最致命的云安全盲点,与取证和威胁追踪遥测技术相关。现在各个组织不仅难以从所有不同的云资源中获取正确的信息,而且即便能够做到这一点,这些组织还面临着另一场艰苦的战斗。


仅仅是整合这些数据,并将其与公司办公场所的遥测技术相关联就已经是这些组织内部的一场噩梦,因为对于组织中负责事件响应和威胁搜索的团队来说,这简直就是面前的仪表盘多得让人头昏眼花的混乱状况。


根据 SANS Institute 的数据,从云供应商那里获取用于取证的低层日志和系统信息时,超过一半的组织都遇到了挫折,只有不到三分之一的组织能够做到将他们内部使用的取证和事件响应工具与他们的公共云环境集成在一起。


作者介绍:


Ericka Chickowski,专门报道信息技术和商业创新。在过去十年的大部分时间里,她一直专注于信息安全领域,并定期撰写有关安全行业的文章,为网络安全的综合性网站 Dark Reading 撰稿。


英文原文:


7 Biggest Cloud Security Blind Spots


2019-09-10 16:523075
用户头像

发布了 63 篇内容, 共 41.1 次阅读, 收获喜欢 119 次。

关注

评论

发布
暂无评论
发现更多内容

Java大厂高级面试题灵魂100问,linux操作系统教程pdf,卧槽

Java 程序员 后端

Java学习笔记在互联网上火了,Java开发实战讲解

Java 程序员 后端

Java五年工作经验面试题,极客学院和黑马,深入linux内核架构面试

Java 程序员 后端

Java入门,java黑马程序员课后答案第二版第八章,如何成为杰出的程序员

Java 程序员 后端

架构实战营模块1课后作业

断水风春

架构实战营

Java基础笔试题,mysql教程入门到精通,Java程序员

Java 程序员 后端

Java二叉树面试题总结,马哥linux视频教程百度云,GitHub重磅官宣

Java 程序员 后端

Java基础入门教程,尚硅谷和黑马深圳,Java中级面试含答案

Java 程序员 后端

Java基础学习百度云,尚硅谷linux,深入linux内核架构面试

Java 程序员 后端

Java大厂74道高级面试合集,我凭借这份PDF的复习思路

Java 程序员 后端

Java大神需要掌握的技术,java开发技术教程,字节大牛教你手撕Java学习

Java 程序员 后端

Java学习笔记在互联网上火了,linux视频教程在线,面试官让我下周来上班

Java 程序员 后端

Java入门基础,千锋教育java教程,深度剖析原理

Java 程序员 后端

Java基础入门视频,kafka基础教程,最新Java开发面试解答

Java 程序员 后端

Java基础笔试题,尚硅谷和尚学堂大数据,彻底帮你搞懂

Java 程序员 后端

Java外包是如何转正华为的,2021最新网易Java面试题目

Java 程序员 后端

Java基础知识梳理,java最新技术栈百度网盘,大厂面试必问

Java 程序员 后端

看山聊 Java:从零实现“百度网盘批量重命名”工具

看山

Java 工具集 10月月更

Java多态实现原理解析,掌握这套精编Java高级面试题解析

Java 程序员 后端

Java入门,spring框架教程,Java开发知识体系

Java 程序员 后端

Java基础72问:黑马程序员java教程,漫谈MySQL权限安全

Java 程序员 后端

Java基础知识梳理,渡一教育java百度云资源,帮你快速拿Offer

Java 程序员 后端

Java外包是如何转正网易的,面试阿里的时候一定会问到的

Java 程序员 后端

Java从入门到精通百度云,java教学百度网盘,思维导图+源代码+笔记+项目

Java 程序员 后端

Java入门视频教程,尚学堂大数据全套教程百度云,Java多线程并发面试题

Java 程序员 后端

不会吧?!新版本longhorn部署需要k8s.gcr.io镜像?

远鹏

Kubernetes CloudNative cncf longhorn

Java学习路线指南,思维导图+源代码+笔记+项目

Java 程序员 后端

Java基础72问,极客时间数据结构与算法,原理解析

Java 程序员 后端

Java基础教程百度云,java教程百度云下载,你不懂还不学?

Java 程序员 后端

Java基础笔试题,rabbitmq教程go,netty框架工作原理

Java 程序员 后端

Java学习笔记在互联网上火了,帮你深度探寻Spring循环依赖源码实现

Java 程序员 后端

7大最致命的云安全盲点_安全_Ericka Chickowski_InfoQ精选文章