黑客总是在IT系统中寻找漏洞,企业一直在警惕防备。虽然有许多工具可以帮助保护数据和检测威胁,但这些工具都存在云安全风险:工具不能避免人为因素。
人无完人,终端用户和IT团队也一样。他们容易受到网络钓鱼攻击,也可能会发生普通的失误,例如:他们可能会在外部环境使用机密信息或者不正确地部署安全服务。更重要的是,云安全最佳实践经常不能得到员工的全面遵守和支持,因为员工总希望尽量快速和高效地完成工作,有些安全策略会带来少许限制。
要解决云环境中人的风险因素,组织需要理解工具存在的局限性,并培养员工的信息安全意识。
终端用户
网络钓鱼攻击旨在诱骗个人用户通过网站链接和网页直接响应暴露敏感信息。在许多情况下,软件看起来是合法的,结果员工就成了攻击和破坏IT系统的受害者。
此外,随着移动设备和云服务的兴起,大量企业数据也都转移到了外部环境。这就增加了用户在家里、咖啡店或者酒店访问敏感信息的机会,那些环境中的网络可能遭到窃听。
为了保障信息安全,可以使用数据泄露保护服务,它可以识别包含敏感信息的文档(例如账号信息)并警告员工潜在的云安全风险。在某些情况下,这些工具还可以禁止访问某些外部环境数据。在这个领域有一些专门的供应商,包括CA技术公司、思科公司、Digital Guardian公司、Veracode公司和赛门铁克公司。
IT团队
IT团队也容易发生可导致云安全风险的人为错误。例如:补丁管理就是个长期存在的问题。IT团队更新补丁消除漏洞的操作有时候是滞后的,因为他们还有其它更紧迫的问题要处理。不过,在公共云环境中云服务提供商会负责更新补丁,这会降低这方面风险。
但是,不要指望(云环境)提供商对云环境的所有安全问题负责,IT团队仍然需要防护安全威胁。例如,许多公司现在有内部开发人员拼凑云应用程序,这些人员专业技术能力很有限甚至非常不专业。虽然他们构建这些应用程序的工具可能也有安全选项或功能,但一些新手可能不会使用或没有启用安全策略,这会给应用程序留下漏洞。
一般来说,向云环境迁移意味着IT团队需要调整他们的管理过程。云安全联盟CEO Jim Reavis认为,不是所有的遗留系统都需要迁移到云环境,有一些是没有意义的。公司需要改变思维,部署下一代防火墙,把工具当作服务运作,而不是当成设备。
许多组织都有安全工具或者服务,可以监视云部署和系统日志。这些工具很多都可以检测潜在威胁并自动发送警告。不过其中有一些警告可能是合法的,有一些不合法,这会给安全运维团队带来很大工作量。面对如此巨量的数据,IT专业人士可能会忽略潜在云安全风险中的一些警告,等发现的时候已经太迟了。这些警告背后的风险可能会破坏系统或产生实际的攻击。
Reavis说:“过去几年里计算资源出现了爆炸式增长,远远超过了过去许多年的发展。许多公司还没有扩展和增加安全方面的专业人员来负责评估潜在风险。”
更重要的是,IT团队经常以点对点模式部署安全控制策略,这个过程中就会出问题。兼并和收购会加剧这种问题,因为安全工具一般都不是标准化的。实际上,这相当于一个云安全团队管理多个自治虚拟私有网络,可能会忘记修改其中某一个网络的配置,这就会给攻击留下可乘之机。
着眼长远
企业需要制定公司级策略,部署标准化的工具,并在培训终端用户和IT团队方面投资,让员工更好地理解云环境安全中他们的角色。要避免响应式处理问题的模式,最好的做法让人为错误最小化,为长期解决方案投资,全面遵循云环境安全最佳实践。
Security Architects Partners公司管理合作伙伴兼首席咨询顾问Dan Blum说:“管理层需要意识到,降低90%的风险问题不是一蹴而就的事。”