雲計算為消費級應用服務了10年,為企業級應用也服務了多年,可是很多企業還處於摸不清雲計算安全邊界的狀態,致使一旦發生雲安全事件,企業與雲服務提供商之間往往相互推諉責任,最終遭殃的卻是隱私數據外洩的普羅大眾。
雲計算為消費級應用服務了10年,為企業級應用也服務了多年,可是很多企業還處於摸不清雲計算安全邊界的狀態,致使一旦發生雲安全事件,企業與雲服務提供商之間往往相互推諉責任,最終遭殃的卻是隱私數據外洩的普羅大眾。
上雲後數據並不會更安全
如果追溯到十年前,當公有云廠商開始教育用戶,上雲如何如何安全之時,相信很多企業都在擔心自己的數據一旦上雲,自己就“夠不到”、“掌控不了了” ,也成為當時阻礙企業上雲的最大顧慮。可是隨著雲計算持續發展及應用普及,現在上雲已非常普遍,也讓不少企業產生了一種錯覺,那就是上雲是安全的,但實際上,企業數據卻多了幾把開庫的鑰匙。
當企業數據從私有云環境進入到公有云環境,甚至在混合雲、多雲環境下游走時,任何一點疏漏都能引發數據洩露事件的出現。這時企業必須要清楚哪些內容、業務要上雲,以及上什麼雲。因為上雲後並不會讓數據變得更安全,只會擴大其受攻擊面。
雲安全事件相互推諉
“既然我買了你的雲服務,難道不該你來負責我的數據安全嗎?”,相信對於這個論斷有很多企業都會大點其頭。可事實上不管國內國外,即便企業選擇的是雲服務提供商的公有云,但對於雲上的安全問題依舊是企業自己負責,雲服務商並不會為企業在公有云上的任何安全事件負責。一般來說,雲服務商都會說,“我們的雲很安全,出了問題那是你用的不對……”
那麼真相究竟是怎樣呢?Gartner就曾針對一些動輒丟失幾億條數據的大型雲安全事件進行過調研,發現這些企業並不是因為雲服務商本身的安全問題而導致數據洩露,反而是幾乎所有的雲安全事件最終的問題都是由企業自己導致的,比如說配置上的錯誤等等,而類似事情可謂屢見不鮮了。比如今年7月29日美國大銀行Capital One證實遭駭客入侵,超1億用戶數據外洩就是由於其雲防火牆配置錯誤引發的。
雲安全與傳統安全的差異
那麼對於雲安全來說,其與傳統安全究竟有哪些差異呢?可以根據環境分現代化基礎設施和傳統基礎設施兩個方面來看。首先,基於雲的現代化基礎設施一定要包括高度定製的虛擬化環境,如今的私有云環境和公有云環境,都已屬於現代化基礎設施範疇。另外基於雲的現代化基礎設施還要至少具備標準化、規範化、自動化、少人工介入這四個最底層的能力特性。
其次,基於雲的現代化基礎設施在談安全時,必須能夠提供完整的數據留存,包括通過API驅動,能夠實現高度的協同,不同的基礎設施組建,公有云服務上提供的組件,然後還有在雲上部署的安全產品,也可以進行高度的契合。因為數據完整才能夠進行溯源,進而實現快速檢查和發現的能力,同時輔以協同效力,最終就達到對攻擊的分鐘級檢測和響應。然而上述這些在傳統環境裡,能達到天級都已經算是一個極致了,對於傳統安全來說基本是不可能一天兩天就能發現並且響應的。
遷移是解決雲安全的時機
當人們清晰地感覺到現代雲安全跟傳統基礎設施安全的巨大差別後,解決企業雲安全問題的最佳時機是在何時呢?就是企業開始向雲遷移之際。因為這將是企業重新調整自身IT架構的好時機。比如此前勒索病毒肆虐時,一些企業或行業明明知道有漏洞也不敢修復,是由於對於他們來說,不知道修復完這個漏洞之後會產生什麼樣的結果。因為一旦系統崩了,生產中斷,損失會更大。
可是進入雲安全時代後,上述漏洞管理問題甚至底層安全問題,其實都可由雲服務商去解決掉,企業只需去考慮在雲上架設他們的業務負載,以及做好雲端的安全隔離就行了。所以要把握企業雲遷移時機,打好安全基礎。
結語
應該說,由於各企業情況不一,基礎設施也各有不同,但為了避免雲安全界限不清的問題,必須要適時調整自身的雲安全策略為動態且自適用的,要完成從靜態到動態,流量防護也要從中心走向邊界,乃至雲端的全網覆蓋才行。再說數據的最不安全的因素,不在於設備,也不在於軟件,而是在於人,但上雲的企業拿內賊也沒辦法。