云安全界限不清 企业怎么办?

云计算为消费级应用服务了10年,为企业级应用也服务了多年,可是很多企业还处于摸不清云计算安全边界的状态,致使一旦发生云安全事件,企业与云服务提供商之间往往相互推诿责任,最终遭殃的却是隐私数据外泄的普罗大众。

云安全

上云后数据并不会更安全

如果追溯到十年前,当公有云厂商开始教育用户,上云如何如何安全之时,相信很多企业都在担心自己的数据一旦上云,自己就“够不到”、“掌控不了了” ,也成为当时阻碍企业上云的最大顾虑。可是随着云计算持续发展及应用普及,现在上云已非常普遍,也让不少企业产生了一种错觉,那就是上云是安全的,但实际上,企业数据却多了几把开库的钥匙。

当企业数据从私有云环境进入到公有云环境,甚至在混合云、多云环境下游走时,任何一点疏漏都能引发数据泄露事件的出现。这时企业必须要清楚哪些内容、业务要上云,以及上什么云。因为上云后并不会让数据变得更安全,只会扩大其受攻击面。

云安全事件相互推诿

“既然我买了你的云服务,难道不该你来负责我的数据安全吗?”,相信对于这个论断有很多企业都会大点其头。可事实上不管国内国外,即便企业选择的是云服务提供商的公有云,但对于云上的安全问题依旧是企业自己负责,云服务商并不会为企业在公有云上的任何安全事件负责。一般来说,云服务商都会说,“我们的云很安全,出了问题那是你用的不对……”

那么真相究竟是怎样呢?Gartner就曾针对一些动辄丢失几亿条数据的大型云安全事件进行过调研,发现这些企业并不是因为云服务商本身的安全问题而导致数据泄露,反而是几乎所有的云安全事件最终的问题都是由企业自己导致的,比如说配置上的错误等等,而类似事情可谓屡见不鲜了。比如今年7月29日美国大银行Capital One证实遭骇客入侵,超1亿用户数据外泄就是由于其云防火墙配置错误引发的。

云安全与传统安全的差异

那么对于云安全来说,其与传统安全究竟有哪些差异呢?可以根据环境分现代化基础设施和传统基础设施两个方面来看。首先,基于云的现代化基础设施一定要包括高度定制的虚拟化环境,如今的私有云环境和公有云环境,都已属于现代化基础设施范畴。另外基于云的现代化基础设施还要至少具备标准化、规范化、自动化、少人工介入这四个最底层的能力特性。

其次,基于云的现代化基础设施在谈安全时,必须能够提供完整的数据留存,包括通过API驱动,能够实现高度的协同,不同的基础设施组建,公有云服务上提供的组件,然后还有在云上部署的安全产品,也可以进行高度的契合。因为数据完整才能够进行溯源,进而实现快速检查和发现的能力,同时辅以协同效力,最终就达到对攻击的分钟级检测和响应。然而上述这些在传统环境里,能达到天级都已经算是一个极致了,对于传统安全来说基本是不可能一天两天就能发现并且响应的。

迁移是解决云安全的时机

当人们清晰地感觉到现代云安全跟传统基础设施安全的巨大差别后,解决企业云安全问题的最佳时机是在何时呢?就是企业开始向云迁移之际。因为这将是企业重新调整自身IT架构的好时机。比如此前勒索病毒肆虐时,一些企业或行业明明知道有漏洞也不敢修复,是由于对于他们来说,不知道修复完这个漏洞之后会产生什么样的结果。因为一旦系统崩了,生产中断,损失会更大。

可是进入云安全时代后,上述漏洞管理问题甚至底层安全问题,其实都可由云服务商去解决掉,企业只需去考虑在云上架设他们的业务负载,以及做好云端的安全隔离就行了。所以要把握企业云迁移时机,打好安全基础。

结语

应该说,由于各企业情况不一,基础设施也各有不同,但为了避免云安全界限不清的问题,必须要适时调整自身的云安全策略为动态且自适用的,要完成从静态到动态,流量防护也要从中心走向边界,乃至云端的全网覆盖才行。再说数据的最不安全的因素,不在于设备,也不在于软件,而是在于人,但上云的企业拿内贼也没办法。