目前有94%的企業(yè)使用云(其中92%使用多個(gè)云平臺(tái))，在使用多個(gè)云平臺(tái)時(shí)，企業(yè)仍在維護(hù)安全性方面遇到困難。

 

例如，最近的一些網(wǎng)絡(luò)攻擊涉及身份被盜或泄露，特別是那些與基于云的身份有關(guān)的攻擊，而且這種攻擊正在增加。去年，幾乎90%的企業(yè)受到了此類(lèi)網(wǎng)絡(luò)攻擊，即使是最大的云計(jì)算提供商，如微軟和AWS也受到了影響。

 

沒(méi)有人在談?wù)摪言凭`放回瓶子里。國(guó)土安全部的聲明強(qiáng)調(diào)了“云基礎(chǔ)設(shè)施在我們?nèi)粘Ｉ钪械娜找嬷匾浴?rdquo;網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長(zhǎng)Jen Easterly指出，目前適用于大多數(shù)企業(yè)的網(wǎng)絡(luò)安全分擔(dān)責(zé)任模式要求更多地關(guān)注云安全，特別是身份管理和身份驗(yàn)證，以提供必要的功能和保護(hù)敏感數(shù)據(jù)。

 

雖然分擔(dān)責(zé)任模式在劃定安全所有權(quán)領(lǐng)域以及明確這一復(fù)雜而關(guān)鍵的需求方面很重要，但它確實(shí)造成了一個(gè)明顯的安全漏洞：它讓可能沒(méi)有能力應(yīng)對(duì)挑戰(zhàn)的云用戶(hù)負(fù)責(zé)保護(hù)敏感數(shù)據(jù)。

 

只有40%的企業(yè)有足夠的信心表示，他們有足夠的安全性來(lái)100%保護(hù)云中的數(shù)據(jù)。Gartner還預(yù)測(cè)，到2025年，99%的云故障將是用戶(hù)的錯(cuò)。一些最常見(jiàn)的挑戰(zhàn)包括導(dǎo)致應(yīng)用程序易受攻擊的錯(cuò)誤配置、對(duì)云環(huán)境的多層復(fù)雜性的監(jiān)控不嚴(yán)或無(wú)法發(fā)現(xiàn)威脅，以及缺乏執(zhí)行安全措施的人員。

 

 

云服務(wù)提供商傾向于優(yōu)先考慮快速構(gòu)建和擴(kuò)展云環(huán)境——畢竟這是云服務(wù)的賣(mài)點(diǎn)——并將保護(hù)應(yīng)用程序和數(shù)據(jù)的責(zé)任留給他們的客戶(hù)。盡管云提供商為身份和訪問(wèn)管理提供了自己的專(zhuān)有安全工具，但當(dāng)他們的企業(yè)使用多個(gè)云提供商或混合公有/私有云時(shí)，用戶(hù)仍然面臨安全漏洞，就像許多企業(yè)今天所做的那樣。

 

解決云環(huán)境中的漏洞也成為一個(gè)爭(zhēng)議點(diǎn)，云服務(wù)提供商在發(fā)現(xiàn)漏洞時(shí)就會(huì)解決這些漏洞，但他們必須在發(fā)布軟件更新的需求與其業(yè)務(wù)優(yōu)先事項(xiàng)之間取得平衡，例如保證軟件質(zhì)量和最大限度地減少中斷。

 

這給企業(yè)留下了兩個(gè)不同且不令人滿(mǎn)意的選擇，規(guī)模較小的公司可能會(huì)依賴(lài)云服務(wù)提供商提供的基本工具，這些工具有時(shí)成本較低，但可能無(wú)法提供全面的安全性。與此同時(shí)，較大的企業(yè)越來(lái)越多地投資于構(gòu)建他們認(rèn)為的統(tǒng)一云安全戰(zhàn)略，這在分散的環(huán)境中可能很難實(shí)現(xiàn)。

 

 

面對(duì)這種風(fēng)險(xiǎn)格局，國(guó)土安全部審查委員會(huì)評(píng)估與基于云的身份和身份驗(yàn)證基礎(chǔ)設(shè)施相關(guān)的問(wèn)題的項(xiàng)目可以提供一個(gè)框架，以應(yīng)對(duì)保護(hù)多云環(huán)境的挑戰(zhàn)，這可能會(huì)提高云服務(wù)提供商的透明度，改善云服務(wù)提供商保護(hù)其平臺(tái)的努力，并避免客戶(hù)承擔(dān)不必要的風(fēng)險(xiǎn)。

 

然而，要弄清“與基于云的身份和身份驗(yàn)證基礎(chǔ)設(shè)施相關(guān)的問(wèn)題”，需要能夠從身份角度分析風(fēng)險(xiǎn)的解決方案，為了做到這一點(diǎn)，企業(yè)必須探索幾種不同的選擇：

 

1.第三方解決方案：這些解決方案可以提供發(fā)現(xiàn)和修復(fù)云安全漏洞的集成平臺(tái)，并在部署前進(jìn)行檢測(cè)，它們還可以在多云環(huán)境中揭示云身份風(fēng)險(xiǎn)發(fā)現(xiàn)，例如權(quán)限提升和過(guò)度權(quán)限，它們可以自動(dòng)實(shí)施訪問(wèn)策略、適當(dāng)調(diào)整權(quán)限大小并管理整個(gè)網(wǎng)絡(luò)中的權(quán)限，而不會(huì)因手動(dòng)身份管理任務(wù)而使IT部門(mén)負(fù)擔(dān)過(guò)重。

 

2.確保最低特權(quán)訪問(wèn)的定期內(nèi)部和獨(dú)立審計(jì)：默認(rèn)情況下，用戶(hù)應(yīng)具有執(zhí)行其任務(wù)所需的最低權(quán)限，這一原則確保了即使憑據(jù)被泄露，損害也得到了控制。實(shí)施重復(fù)的內(nèi)部審計(jì)計(jì)劃，以審查用戶(hù)的權(quán)利和權(quán)限，并確保無(wú)意或臨時(shí)授予的不必要的權(quán)限被撤銷(xiāo)。更好的做法是，讓你的企業(yè)接受有節(jié)奏的獨(dú)立審核，以便更好地與身份和訪問(wèn)管理安全最佳實(shí)踐保持一致。

 

3.培訓(xùn)和意識(shí)：國(guó)土安全部鼓勵(lì)企業(yè)發(fā)展強(qiáng)大的安全文化——這有助于提高企業(yè)防御社會(huì)攻擊所需的意識(shí)。此外，持續(xù)培訓(xùn)你的IT和開(kāi)發(fā)團(tuán)隊(duì)了解云安全最佳實(shí)踐，例如為新部署使用配置模板以確保默認(rèn)情況下的安全配置，定期舉辦講習(xí)班、研討會(huì)和更新最新的最佳做法，可使該小組隨時(shí)了解情況并保持警惕。

 

單云、多云和混合云基礎(chǔ)設(shè)施將繼續(xù)存在。網(wǎng)絡(luò)安全審查委員會(huì)對(duì)云安全的關(guān)注，以及最近政府的一系列網(wǎng)絡(luò)安全舉措——想想關(guān)于網(wǎng)絡(luò)安全的行政命令——揭示了云中的網(wǎng)絡(luò)威脅。

 

國(guó)土安全部的審查本身并不是一個(gè)規(guī)則制定過(guò)程，但每當(dāng)聯(lián)邦政府支持一個(gè)框架時(shí)，企業(yè)都會(huì)傾聽(tīng)。現(xiàn)在是時(shí)候重新考慮身份和身份驗(yàn)證在你的云安全戰(zhàn)略中的角色以及如何管理它了。

 

 

國(guó)內(nèi)主流的to B IT門(mén)戶(hù)，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開(kāi)頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。