黑客總是在IT系統中尋找漏洞,企業一直在警惕防備。雖然有許多工具可以幫助保護數據和檢測威脅,但這些工具都存在云安全風險:工具不能避免人為因素。
人無完人,終端用戶和IT團隊也一樣。他們容易受到網絡釣魚攻擊,也可能會發生普通的失誤,例如:他們可能會在外部環境使用機密信息或者不正確地部署安全服務。更重要的是,云安全最佳實踐經常不能得到員工的全面遵守和支持,因為員工總希望盡量快速和高效地完成工作,有些安全策略會帶來少許限制。
要解決云環境中人的風險因素,組織需要理解工具存在的局限性,并培養員工的信息安全意識。
終端用戶
網絡釣魚攻擊旨在誘騙個人用戶通過網站鏈接和網頁直接響應暴露敏感信息。在許多情況下,軟件看起來是合法的,結果員工就成了攻擊和破壞IT系統的受害者。
此外,隨著移動設備和云服務的興起,大量企業數據也都轉移到了外部環境。這就增加了用戶在家里、咖啡店或者酒店訪問敏感信息的機會,那些環境中的網絡可能遭到竊聽。
為了保障信息安全,可以使用數據泄露保護服務,它可以識別包含敏感信息的文檔(例如賬號信息)并警告員工潛在的云安全風險。在某些情況下,這些工具還可以禁止訪問某些外部環境數據。在這個領域有一些專門的供應商,包括CA技術公司、思科公司、Digital Guardian公司、Veracode公司和賽門鐵克公司。
IT團隊
IT團隊也容易發生可導致云安全風險的人為錯誤。例如:補丁管理就是個長期存在的問題。IT團隊更新補丁消除漏洞的操作有時候是滯后的,因為他們還有其它更緊迫的問題要處理。不過,在公共云環境中云服務提供商會負責更新補丁,這會降低這方面風險。
但是,不要指望(云環境)提供商對云環境的所有安全問題負責,IT團隊仍然需要防護安全威脅。例如,許多公司現在有內部開發人員拼湊云應用程序,這些人員專業技術能力很有限甚至非常不專業。雖然他們構建這些應用程序的工具可能也有安全選項或功能,但一些新手可能不會使用或沒有啟用安全策略,這會給應用程序留下漏洞。
一般來說,向云環境遷移意味著IT團隊需要調整他們的管理過程。云安全聯盟CEO Jim Reavis認為,不是所有的遺留系統都需要遷移到云環境,有一些是沒有意義的。公司需要改變思維,部署下一代防火墻,把工具當作服務運作,而不是當成設備。
許多組織都有安全工具或者服務,可以監視云部署和系統日志。這些工具很多都可以檢測潛在威脅并自動發送警告。不過其中有一些警告可能是合法的,有一些不合法,這會給安全運維團隊帶來很大工作量。面對如此巨量的數據,IT專業人士可能會忽略潛在云安全風險中的一些警告,等發現的時候已經太遲了。這些警告背后的風險可能會破壞系統或產生實際的攻擊。
Reavis說:“過去幾年里計算資源出現了爆炸式增長,遠遠超過了過去許多年的發展。許多公司還沒有擴展和增加安全方面的專業人員來負責評估潛在風險。”
更重要的是,IT團隊經常以點對點模式部署安全控制策略,這個過程中就會出問題。兼并和收購會加劇這種問題,因為安全工具一般都不是標準化的。實際上,這相當于一個云安全團隊管理多個自治虛擬私有網絡,可能會忘記修改其中某一個網絡的配置,這就會給攻擊留下可乘之機。
著眼長遠
企業需要制定公司級策略,部署標準化的工具,并在培訓終端用戶和IT團隊方面投資,讓員工更好地理解云環境安全中他們的角色。要避免響應式處理問題的模式,最好的做法讓人為錯誤最小化,為長期解決方案投資,全面遵循云環境安全最佳實踐。
Security Architects Partners公司管理合作伙伴兼首席咨詢顧問Dan Blum說:“管理層需要意識到,降低90%的風險問題不是一蹴而就的事。”
來源:中國IDC圈
石家莊服務器托管 石家莊服務器租用 石家莊機柜租用 石家莊機房 |