行业非盈利组织云安全联盟发布了一份关于云计算面临的大威胁的报告,结论是,大的问题是由客户造成的,而不是由云“解决方案”提供商(csp)造成的。

在云计算的早期,安全问题集中在多租户(在相同的物理硬件上与其他客户共享计算资源)的风险上,或者CSP在保护数字资产方面可能不如内部IT部门做得好。

CSA表示,它“注意到传统云安全问题在供应商责任下的排名有所下降”。诸如拒绝服务、共享技术漏洞、CSP数据丢失和系统漏洞等问题现在被评为非常低的级别,因此被排除在本报告之外。相反,我们看到更多的是需要解决高级管理层决策导致的位于更高技术层次的安全问题。

没有惊喜。但目前主要的云风险是什么?

排在首位的是数据泄露,其原因多种多样,从被黑的账户和服务器漏洞,到数据在互联网可访问服务上不受保护。一个可能的原因被CSA错误配置和不充分的变更控制列为单独的风险。多云让情况变得更糟。“使用多个云提供商增加了复杂性,因为每个提供商都有独特的功能,这些功能几乎每天都在增强和扩展,”该组织表示。这意味着企业无法跟上。

接下来是糟糕的云安全架构,CSA将矛头指向升降式迁移。如果你优先考虑让遗留应用程序在不同的平台上快速运行,而不是为云重新设计它,那么你很可能会弄错。

凭证和密钥管理是另一个重要的方面。报告指出,将密码放在公共GitHub存储库中并不是个好主意。其他建议包括使用双因素身份验证、根据业务需求和最小特权原则对账户进行隔离和分段,以及删除未使用的凭据。

csp并没有完全摆脱困境。CSA表示,双因素认证应该作为标准提供,然而,“不幸的是,许多csp只将双因素认证作为一种高级服务提供给客户”。大的csp似乎有这个权利,至少对于基本的多因素身份验证来说是这样,但是对于较小的提供者来说,这仍然是一个问题。

另一个问题是,有时由于薄弱的策略或影子IT(发生在IT部门监管之外的项目),组织对其使用的云服务没有足够的使用可视性。

最后,报告指出,csp有责任解决黑客和骗子滥用其资源的问题。这可能很困难,因为csp还需要观察运行在云中的客户系统的机密性。CSA认为,每个CSP都应该有一个事件响应框架来“解决资源滥用问题”。

从其中了解到,企业同样有能力破坏安全性,无论它的IT系统是在本地还是在云中。云并不是一些人担心的安全灾难,但是从本地系统迁移对修复薄弱的安全实践毫无帮助。

【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-08-11 18:23:36
云资讯 阿里巴巴发布2024 Q1业绩,阿里云收入251.23亿元
阿里云收入增长4%至251.23亿元,经调整EBITA利润增长106%至3.87亿元。 <详情>
2023-08-02 08:44:58
云资讯 国家发改委:支持民营企业牵头承担云计算、人工智能、工业互联网等攻关任务
值得一提的是,《通知》指出,支持民营企业参与重大科技攻关,牵头承担工业软件、云计算、人工智能、工业互联网、基因和细胞医疗、新型储能等领域的攻关任务。 <详情>
2023-07-31 09:45:08
云资讯 云计算产业发展趋势及对运营商云业务的发展启示
随着新一轮科技革命与产业变革的蓬勃发展,经济社会数字化转型进程深入推进,作为数字化转型关键信息基础设施的云计算业务迎来广阔增长空间。 <详情>
2023-07-28 08:52:05
云资讯 《云计算白皮书(2023年)》:我国云计算市场处于快速发展期
7月25日,中国信通院发布《云计算白皮书(2023年)》(以下简称《白皮书》),《白皮书》聚焦过去一年多来云计算产业的新发展新变化,总结梳理国内外云计算政策、市场、技 <详情>
2023-07-25 15:25:54
云资讯 中国电信与国家信息中心共同发布国信政务云
下一步,双方将从科技支撑、智慧化应用创新和敏捷专业贴身服务全方位建设并运营好“国信政务云”。 <详情>