云计算的好处在其创新性,但近来负责 IT 安全的各个组织也发现,在这个云越来越普及的时代,网络安全遇到许多障碍。网络安全面临的许多重大挑战都与安全可见性相关,本文介绍了导致这些可见性问题的一些最致命的云安全盲点。
当下在提供 IT 服务的方面,云计算正从一个可选项进化为事实上的标准选项。根据“2019年公共云趋势”,从这份企业战略集团(ESG)的报告来看,IaaS 环境的使用率在过去的 8 年里急剧上升,组织的使用率从 17%上升至 58%,而且来自高达 39%的机构报告他们在所有的技术部署中有”云优先“的态度。
当然,这对创新来说是件好事,但是对从事网络安全的组织而言,它们一直在挣扎着试图努力追赶日新月异的云技术、架构和用例。他们面临的许多重大挑战都与安全可见性相关。在云安全联盟(Cloud Security Alliance)最近的一份报告中,拥有公共云资产的公司中,有四分之三的公司表示,安全可见性的缺乏是一个主要挑战。
下面是导致这些可见性问题的一些最致命的云安全盲点。
一、业务-管理 IT
无论是绕过 IT 部门私自搭建部署的“私营 IT”(shadow IT),还是员工用智能设备或云服务私下备份数据的"盗贼 IT"(rogue IT),这些已经成为过去。
如今,许多将 IT 视为创新驱动因素的组织,其麾下业务相关人员购买和管理云资产的技术购买模式,已经被冠以“业务-管理 IT”这个铿锵有力的名号。“Harvey Nash/KPMG(毕马威)CIO 2019年调查”就提到了这一点。该调查报告称,如今超过三分之二的组织要么鼓励,要么允许这种“企业-管理 IT”。原因是,采用这种 IT 措施的公司在市场上击败其竞争对手的可能性会提高 52%,而提供积极员工体验的可能性则提升了 38%。
问题是,如果没有 IT 或网络安全专家的密切合作,这些草草动工的云技术“竖井”可能成为这些组织安全上的巨大盲点。固然这些组织的创新速度变得更快,但调查也显示,这些组织在多个领域中面临安全风险的可能性是其他组织的两倍。
二、云平台错误配置
对互联网服务(Internet-as-a-service,IaaS)的依赖和对云数据存储的错误配置,是导致当下一些最具破坏性的云入侵和数据外泄的主要原因。无论是错误地关闭了云提供商标准化的默认安全设置,还是使用了默认密码,或者对某些服务允许不受限制的访问,以及其他种种原因,错误配置问题都会带来大量隐藏的风险,而这些风险往往只有在令人尴尬不已的事件发生之后才会出现在新闻标题中。
根据最近的《2019年云安全报告》显示,大约有 40%的组织表示,云平台配置不当是他们最担心的网络安全问题。
三、混合架构
根据云安全联盟最近的一份报告,大约 55%的组织当前运行的是使用混合架构的、非常复杂的云计算环境。虽然这样的环境设置为大型组织逐步过渡到云平台提供了一种较好的方法,但它同时也带来了许多安全可见性方面的挑战,因为组织很难跨越整个系统架构去跟踪所有资产,或者跨越混合云复杂的无数连接对各种活动进行监控。
事实上,Firemon 今年早些时候发布的一份报告显示,80%的组织都面临挑战——用于监控和管理安全性的工具在混合架构环境中有诸多限制,且复杂性过高。
四、从多家云供应商采购
云安全联盟的这份报告还显示,越来越多的组织正从多家云供应商进行采购,这些组织搭建的云依赖于来自多家供应商的云环境。据估计,大约 66%的组织拥有多家供应商的云环境,而且 36%的组织同时依赖于多家供应商和混合技术。
这样的状况进一步搅浑了安全专业人员所看管的一池水。Securosis 的分析师、云安全公司 DisruptOps 的产品副总裁 Rich Mogull 写道:“如今安全专业人士所面临的问题是,不同的供应商之间安全方面的模型和控制千差万别,还普遍缺乏详细的文档说明,而且不同的云产品完全不兼容。”
他还说:“如果有人告诉你,他们能在几周或几个月的时间里,通过寥寥几节培训课程就能领会到这些细微差别,那他要么是在撒谎,要么就是无知。要真正做到理解哪怕知识一家云供应商关于安全性的各种复杂细节,也需要多年的亲身实践经验。”
五、容器和容器编排
为了支持软件开发中持续集成/持续交付(CI/CD)的飞速改进和发展,如今许多组织都充分利用了短时运行的容器所带来的灵活性和可扩展性,在云计算中容器化工作负载和容器编制(container orchestration)的使用率正在以火箭式的速度飞涨。
但是像 Kubernetes 这样的新平台,正在向云环境不断引入新的错误配置和漏洞,而且这些隐患引入的速度之快,甚至超过了安全团队完全理解相关容器技术工作原理的速度。根据最近由 AimPoint Group 代表 StackRox 所做的研究报告,目前 40%的组织仍然处于容器环境安全策略的规划或初级部署阶段,另有 19%组织根本没有任何安全策略可言。
六、暗数据
非机密和非托管数据,也称为“暗数据”(dark data),是当今大多数企业面临的一个巨大问题,无论这些数据是存储在企业本地设备中还是在云环境中。由于无法对未知资产实施安全措施,组织实际上很难对暗数据进行有效的保护。
根据 Vanson Bourne 最近为 Veritas 进行的一项调查,暗数据的问题在公共云环境中尤其严重,五分之三的公司表示,他们对公共云中所存储数据的加密还不到一半比例。
七、取证和威胁追踪遥测技术
目前安全团队正在抗争的一些最致命的云安全盲点,与取证和威胁追踪遥测技术相关。现在各个组织不仅难以从所有不同的云资源中获取正确的信息,而且即便能够做到这一点,这些组织还面临着另一场艰苦的战斗。
仅仅是整合这些数据,并将其与公司办公场所的遥测技术相关联就已经是这些组织内部的一场噩梦,因为对于组织中负责事件响应和威胁搜索的团队来说,这简直就是面前的仪表盘多得让人头昏眼花的混乱状况。
根据 SANS Institute 的数据,从云供应商那里获取用于取证的低层日志和系统信息时,超过一半的组织都遇到了挫折,只有不到三分之一的组织能够做到将他们内部使用的取证和事件响应工具与他们的公共云环境集成在一起。
作者介绍:
Ericka Chickowski,专门报道信息技术和商业创新。在过去十年的大部分时间里,她一直专注于信息安全领域,并定期撰写有关安全行业的文章,为网络安全的综合性网站 Dark Reading 撰稿。
英文原文:
7 Biggest Cloud Security Blind Spots
评论