SaaS、PaaS、IaaS,如今的企业可以选择任意的云服务交付类型,但是这里有一个他们无法忽视的问题:安全。而且,不同的人对安全性的认识均有所不同,比如IT和业务线人员(LoB)就对基于云的应用风险具有不同看法。

云里有什么?

如果想要迁移到云端,那么企业可能会希望利用可快速实施的统一通信和协作服务,以提供更多的特性和功能,并同时减少预算。同样的思维过程也适用于他们的呼叫中心。云计算很有吸引力,但IT人员和业务主管对安全风险的看法则不同。

去年1月Ponemon发布了由Salesforce赞助的云安全报告《缩小云安全业务的差距》(Closing the Cloud Security Business Gap),该报告调查了与云服务相关的各种观点、问题和业务立场。其中比较有趣的是,IT组织人员与LoB人员对安全性的看法有所不同。由于这两个领域并不一致,因此在创建过程、实施的程序、预算定义预安全性执行方面可能存在冲突。尽管他们具有相类似的上云原因,但其背后目的并不一样,IT需要降低成本,而LoB希望提高效率和减少部署;IT希望提高安全性(24%),而LoB认为这个并不是太重要(12%)。

image.png

来源:Ponemon,2018

云端风险

Ponemon报告的结论之一是,不了解使用中的云应用程序和平台(SaaS或PaaS)可能会带来风险。报告发现,77%的受访者对收集、处理和/或存储的敏感数据没有完全的可见性。在另一个结论中,50%的人不确定他们的IT组织是否知道目前正在使用的所有云应用程序。当被要求对风险水平进行评级时,69%的人认为不知道目前使用的所有云应用程序和平台的风险水平。

下图显示,对于云解决方案和本地解决方案,对云安全性的看法是差不多的。它还表明,LoB(20%)和IT(38%)对云安全资源的关注之间存在脱节。

image.png

来源:Ponemon,2018

数据外泄

数据外泄问题将可能导致信息窃取、更改网站上的信息、将用户连接到恶意代码和信息,或禁用企业的资源等问题。最常见的罪魁祸首是人为错误(48%)。这意味着企业必须监视其用户,以发现导致安全问题的用户实践行为。网络攻击占安全问题的43%。处理攻击需要不同的工具集,从监视网络和应用程序的异常行为到安装预防措施。比较有趣的是,安全问题的第三大来源是系统故障(36%)。这可能意味着安装不当、疏忽、没有更新补丁、延迟更改、IT人员缺乏知识或培训不足,所有这些都是IT管理问题。

image.png

来源:Ponemon,2018

SaaS vs. PaaS安全责任

假设企业正在使用云服务,谁负责安全性?SaaS与PaaS安全责任的比较存在着明确的意见分歧。在使用SaaS时,受访者表示他们希望云服务提供商(SaaS)负责(29%)。当与PaaS合作时,这一比例下降到17%。当被问及是否应该共享安全责任时,只有13%SaaS客户希望共享责任,而在PaaS客户中比例上升到25%。

image.png

来源:Ponemon,2018

IT vs. LOB安全认知

报告的结论是,LoB比IT安全部门更有可能相信存于云中的敏感/机密信息会比本地信息更安全。根据下图,46%的LoB受访者认为云中的敏感或机密数据更安全,而IT受访者只有28%认为如此。33%的IT受访者和25%的LoB受访者表现他们的功能对信息安全负有最大责任。

LoB和IT都不认为云服务提供了比本地计算更安全的环境(IT 49% vs. LoB 45%)。

image.png

来源:Ponemon,2018

一些观察

使用云服务可以减轻IT的工作量。这也意味着它的控制权更少,将依赖第三方的安全。它看到负债增加。LoB看到了一个更有效的解决方案。

IT认为风险妨碍他们的操作,产生额外的工作,并在发生攻击时投诉。

IT认为攻击是一种成本,因为它们会耗尽资源。

LoB认为此次攻击不仅会影响收入和利润,还会受到监管机构的费用和罚款的影响。

LoB更加关注客户流失和声誉受损。

似乎IT与LoB对安全具有当前的认知可能是由于本地安全功能的声誉不佳。 对于云的营销工作对LoB的影响可能比IT部门更大。 IT和LoB必须能进行更好地沟通,更多地了解对方的看法, 目标和现状。

全球云计算市场规模将达6233亿美元 混合云成主要模式  

边缘计算——"一颗冉冉升起的新星"

云计算的定义、类型及应用场景  

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-04-02 15:40:20
云技术 转向混合云 如何确保它的设计是安全的?
在构建混合云的过程中,公司通常不会考虑安全问题。当他们意识到这个环境引入了一些传统基础设施中不存在的独特安全考虑时,这可能会导致令人不快的意外。这就是为什么混合 <详情>
2019-04-02 12:31:00
大数据资讯 志翔科技用大数据技术为行业云构建“安全之翼”
志翔科技产品副总裁伍海桑博士也关注了 RSA 很多年。十几年前,他从清华大学毕业后到美国读书,毕业后就踏进了网络公司 Juniper,参与了当时世界上最快防火墙的研发,随后 <详情>
2019-04-02 10:24:21
运营商 5G时代运营商如何“收费”,IT大佬这样说……
2019年是5G商用元年。统计数据显示,全球至少有87个国家和地区的211家运营商正在投资5G,其中15家已商用。 <详情>
2019-04-01 17:22:00
云资讯 2019年数字化转型技术投资重点:云、网络安全、AI(附图表)
研究咨询公司Prophet子公司Altimeter一直以来面向CIO推出《数字化转型状态》研究报告,希望持续捕捉现代数字化转型浪潮的一切变化及趋势,今年正值该报告问世的第五个年头 <详情>
2019-03-29 18:19:00
运维管理 实现数字化成功转型需要关键基础设施层的进化和配合
在数字经济时代,信息技术与业务的加速融合,正在重塑商业理念与商业模式。同时,数字化转型也对IT版图带来巨变。针对新的IT架构和交付模式,IT运营需要相应地转变,实现科 <详情>