过去几个月,安全界见证了多起重大云数据泄露事件。6月份1.97亿美国选民的泄露事件,震惊全球。数周后,600万威瑞森用户数据,被其第三方合作伙伴Nice系统曝光。一周后,该起事件尘埃未定之时,220万道琼斯客户个人信息又遭泄露。

云安全新

过去,信息技术在企业内部署时,保护IT基础设施的责任完全落在企业自身。云时代的到来,对IT安全提出了新的规范要求。虽然可以照搬过去的安全模式,但“云”意味着部分安全责任必须倚仗合作伙伴。

上述3起泄露事件有几个共同点。它们都因公开可用的AWS S3 buckets而泄,但更重要的是,全部3起泄露事件都是客户的人为失误导致的。

云安全责任共担模型初探

云服务提供商(CSP)已努力提升其安全能力。提供商一般都是大公司,有专门团队负责保护其基础设施和产品安全,在资源投入上普通企业无法匹敌。

举个例子,微软每年都投入10亿美元用于改善其产品安全。Salesforce,则以其Salesforce Shield的引入,持续扩展其SaaS平台安全性。Box在2016年发布其数据分类功能,进一步增强客户关键安全能力。

总的说来,CSP对其SaaS、PaaS和IaaS产品的安全负责。更具体讲,CSP保护服务的底层基础设施不受威胁、漏洞、滥用和欺诈的侵害。他们还负责为客户提供主要安全功能,比如数据加密、身份与访问管理、多因子身份验证。

客户负责云“中”安全,包括安全功能的恰当配置,安装更新和确保雇员不把敏感数据泄露给未授权方。这其间有些重合,尤其是在合规方面,但就绝大部分而言,提供商和客户的责任是独立的。

该关系就是所谓的责任共担模型,这是现代云安全操作的基础。

云“中”安全

随着数据不断移到云端,客户有责任确保自身符合安全、监管和合规要求。

比如说,CSP或许可以防止暴力破解登录,但确保雇员在各个云服务上使用各不相同的安全口令以最小化账户风险,是客户自己的责任。

而且,尽管云技术可以简化共担和协作,若客户以不合规的方式意外共享敏感数据给第三方,数据泄露的责任也不在CSP。防范内部恶意用户(例如雇员在跳槽到竞争对手之前下载了Salesforce的所有记录),同样归属客户的责任范围。

最后,恰当配置大量原生安全功能(数据泄露防护、访问控制、活动监测),以及遵循基本安全最佳实践,是云服务客户应负责的另一领域。

这方面的例证,是AWS建议:只授予用户完成职责所需的最小权限。一旦客户非必要地赋予用户管理权限,那AWS就对保护客户安全无能为力了。

云“的”安全

CSP有责任确保其基础设施无漏洞。云服务的物理安全、对硬件或软件的非授权物理访问预防,以及灾难和事件响应,也是CSP的责任。

灾难及事件响应包括两个主要方面。首先,业务持续性管理,也就是CSP必须确保可用性和事件响应。基本上,服务必须在线正常运行,而一旦出现问题,CSP必须尽快修复。

第二个方面,环境或不可预知场景的处理。这包括保护数据中心不受断电、洪水、地震和其他灾害的损伤。

进一步详细描述的话,你会发现SaaS提供商具体负责的东西,与PaaS和IaaS提供商有很大区别。对SaaS和PaaS而言,大部分网络访问控制都是CSP设置的。而IaaS,网络访问由提供商和客户双方控制。

比如说,AWS就为其客户提供了AWS安全组的一个服务。安全组相当于用来控制网络流量的防火墙。AWS客户负责恰当配置安全组,以防止将自身暴露在DDoS攻击之下。

前瞻

尽管AWS或微软Azure这样的CSP有他们自己的安全责任,只要使用云服务的企业没能协同完成属于自己那部分的责任,数据泄露就依然会继续发生。Gartner预测,到2020年,95%的云安全问题,都是客户的过错。

我们准备好了吗?

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 12:13:13
云资讯 京东云发布《私有云&混合云白皮书》 构建客户想要的云平台
伴随着人工智能、大数据、物联网等技术的不断发展,以及5G时代的来临,企业IT系统的云化成为大势所趋。客户多样化、个性化的应用需求对云厂商提出更多要求。 <详情>
2019-07-31 10:31:00
边缘计算 企业必须进入云端吗?可以进入边缘计算
如今物联网的应用越来越广泛,但需要具有企业的视角。这意味着垂直行业应用程序、开发生态系统、产品设计、硬件、部署等。 <详情>
2019-07-31 10:19:00
云资讯 谷歌牵手VMware将虚拟化工作负载引入谷歌云
彭博社报道称,谷歌与VMware正在展开合作,帮助企业更轻松地在Google Cloud Platform上运行VMware vSphere虚拟化软件和网络工具。 <详情>
2019-07-31 09:52:00
云资讯 谷歌与戴尔旗下云计算公司VMware建立新合作 试图追赶竞争对手
据国外媒体报道,当地时间周一,谷歌宣布与戴尔旗下的云计算公司VMware建立新的合作伙伴关系,帮助更多企业迁移到云端,从而试图追赶其竞争对手。 <详情>
2019-07-31 09:10:00
云技术 云计算时代,硬件为什么仍然非常重要?
加利福尼亚大学圣迭戈分校采用了“云优先”的战略,他们淘汰了三台大型机、将尽可能多的计算工作负载转移到云端、尽可能放弃内部部署软件,转而使用软件即服务。 <详情>