摘要:自从许多组织开始将资产转移到云中以来,涉及云计算基础设施的安全事件已经成为经常发生的事情。这些事件有许多是由于配置不当造成的。 |
“由于各种原因,云计算配置错误是一个普遍存在的问题。Fugue公司首席执行官PhillipMerrick说,“企业开发团队可能会提供包含合规性违规或安全漏洞的云计算基础设施,因为他们或者缺乏足够的培训,或者缺乏适当的控制来确保合规性。一旦基础设施运行、更改可能会导致配置偏差,从而使数据面临风险,并可能导致系统停机事件。”
但他表示,即使有适当的训练和控制,工作人员也会犯错误。
“云计算资源太多,与云计算API接口太多,基础设施改变太多,任何人员团队都无法管理而不会因为配置不当而面临中断的风险。”
谁来负责?
决定使用云计算服务的公司必须认识到并接受这一事实,虽然提供商负责云计算本身的安全性,但用户的云计算基础设施配置是自己的责任。
Fugue公司最近关于该问题的报告发现,最常见的错误配置事件包括权限控制(65%),安全组规则(59%),对象存储访问策略(51%)和禁用传输加密(42%)。所有这些通常都是由于人为错误而发生的,所有这些都可能导致严重的数据泄露。
“企业的安全在传统上更多地关注外围防御和端点安全。有了云计算,实际上没有了外围。企业的基础架构团队正在以数据中心闻所未闻的速度构建和更改云计算资源配置。”他解释了问题的根源,这个问题非常严重,影响了使用云计算的每个企业。
Merrick说,“我们的调查发现,93%的IT人员和安全专业人士表示,他们担心自己的组织因错误配置而面临重大安全漏洞风险。此外,27%的受访者表示他们的组织因错误配置,而遭受了严重的安全漏洞,79%的受访者表示仍然错过了严重的错误配置事件。”
对首席信息安全官(CISO)的建议
云计算基础设施面临的威胁是自动化的,因此自动修复是有效管理错误配置风险的必要条件。
他对首席信息安全官(CISO)的建议是建立一个团队,其中包括了解云计算API的开发人员,并且可以从云计算配置开始自动化云安全的每个重复方面。
“为了提高效率,首席信息安全官(CISO)需要将其安全团队视为云生态系统中的内部工具供应商。开发团队需要安全支持以快速移动,但也需要良好的护栏和反馈,以确保如何安全地执行”他认为,“由首席信息安全官(CISO)领导的安全自动化团队需要与开发团队密切合作,使用符合合规性和安全策略的白名单方法建立已知良好的配置基线。获得已知良好的基准后,企业可以自动执行错误配置的补救过程,而不会产生误报的风险,从而导致可能导致系统停机事件的错误更改。”
编辑:Harris