走进科技生活方式,享受云计算和大数据带来的科技便利的同时,也让我们一起来了解一些云安全,和子凡一起来看看云安全联盟(CSA)发布的 2017 年关于“The Treacherous 12”的报告。
重要的云安全威胁。该列表由调查行业专家编制,并将结果与风险分析相结合,以确定在云中存储数据的组织最常见的威胁。该清单包括:
数据泄露身份,凭证和访问管理不足不安全的接口和 API系统漏洞帐户劫持恶意内部人士高级持续性威胁数据丢失尽职调查不足滥用和恶意使用云服务拒绝服务共享技术漏洞
一个有趣的观察是,类似的云安全威胁与在其他任何地方存储数据的风险有关。云中的数据仍然存储在数据中心中,黑客仍然可以通过他们一直使用的许多相同方法访问它,例如电子邮件网络钓鱼,弱密码和缺乏多因素身份验证。
许多组织似乎普遍认为将数据存储在云中 – 特别是在基础架构即服务中 – 完全外包安全性,几乎看不到,心不在焉。但是,正如云服务提供商所指出的那样,共享责任模型意味着尽管云提供商可能负责底层基础架构:您的组织负责应用程序的安全性以及驻留在该硬件上的数据。
顶级云安全威胁
“The Treacherous 12”报告中值得强调的关键云安全威胁是内部威胁,数据丢失风险和尽职调查不足。他们展示了许多组织对云服务的使用和管理的随意态度。
在许多情况下,组织使用云服务来绕过被视为过度限制的 IT 部门,而实际上,IT 团队正在尝试保护数据。通过绕过 IT 团队并在未经他们同意的情况下注册云服务,企业可以认为它的方法变得更加敏捷,但实际上,它正在规避旨在降低数据泄露风险的限制。
有许多不同的 SaaS 提供商为组织提供工具和服务,具有灵活的营销和承诺积极的投资回报率。但是,缺乏对这些服务的尽职调查,这可能是令人惊讶的。例如,如果您的组织将其人力资源数据外包给小型 SaaS 公司,则对其进行安全尽职调查应该是关键的先决条件。该公司可能只花费您的组织在安全性上花费的一小部分,并且由于它存储的数据,它可能是黑客非常有吸引力的目标。您组织的数据可能更有可能通过该第三方被盗。
您也可能依赖该组织的备份来防止数据丢失; 将关键数据存储在另一家公司的网络中会使您的组织面临更大的风险。内部人员攻击的风险也增加了; SaaS 公司的员工没有通过您的审查程序,其监控人员的流程可能不如您的强大。
总体而言,云安全联盟的报告成功地突出了关键的云安全威胁,以及这些风险在其他任何地方存储数据的相似程度。它提供了及时的提醒,以确保企业将其存储在云中的数据与在内部存储时一样的谨慎和关注对待。