云共享责任模型,云安全配置错误的威胁

基于云的基础架构通常比内部托管系统更便宜、更灵活且更具可扩展性。因此,越来越多的组织正在将敏感数据和应用程序迁移到基于云的部署中。

云共享责任模型,云安全配置错误的威胁-南华中天

然而,关于云的前景并不完全乐观。虽然许多组织全心全意地采用云计算,但很少有人采用良好的云安全实践。许多组织对待基于云的环境的方式与处理本地部署的方式相同。

事实上,云安全与本地安全有很大不同。一个组织的安全团队对其所使用的基础设施的控制级别非常不同,因此,保护​​它的责任也不同。

许多组织未能理解安全的云共享责任模型及其云服务提供商 (CSP) 提供的控制和配置设置。结果,他们未能正确配置这些设置,使敏感数据容易受到攻击。

云共享责任模型

云是一个与许多组织习惯的本地部署截然不同的环境。最大的区别之一是云共享责任模型的概念。在本地部署中,组织的安全团队拥有其网络基础设施的每一部分。理论上,该团队可以完全了解和控制一切——从服务器机房中的物理硬件到在该硬件上运行的顶级应用程序。这意味着他们还负有保护其网络环境的全部责任。

根据他们租用的云服务的详细信息,他们的基础设施堆栈的或多或少的部分实际上由他们的 CSP 拥有和控制。随着所有权的丧失,客户的安全团队也失去了可见性和控制权。

在云中,CSP 和客户共同承担安全责任。基础架构堆栈的某些级别完全在 CSP 的控制之下,他们负责保护这些级别。其他由客户控制,由客户全权负责。在这两个部分相遇的地方,CSP 及其客户通常共同承担责任。

云共享责任模型,云安全配置错误的威胁-南华中天

在许多情况下,CSP 为其客户提供安全控制和配置设置,他们可以使用这些设置来保护他们负责的云部署部分。未能理解共担责任模型(事实上,他们的云安全的某些方面是他们自己的责任),以及未能正确配置这些提供的安全控制,导致许多组织的敏感信息容易受到威胁。

云安全配置错误的威胁

正确配置云安全设置需要了解设置、它们的工作原理以及如何将它们映射到组织的总体安全策略。由于97% 的组织都采用了多云策略,这可能比听起来更难。

正确保护云需要清楚地了解云共享责任模型,但只有 27% 的安全专业人员认为该模型非常清晰。因此,大多数安全团队在运作时对云安全的哪些方面是他们的责任,哪些是 CSP 的工作没有充分的了解。

一旦安全团队清楚地了解了他们在保护云中的责任,他们就需要确定并适当配置其 CSP 提供的安全控制。在多云环境中,所有环境都有自己的安全控制和配置设置集合,这可能是一项复杂的任务。

未能安全地配置云部署使得敏感信息很容易泄露。云被设计为可以从任何地方轻松访问,并且位于许多组织部署大量网络安全威胁检测和数据保护解决方案的网络边界之外。因此,许多组织因云安全控制的错误配置而遭受数据泄露也就不足为奇了——而且在接到道德黑客的通知之前,他们往往不知道这一事实。

云共享责任模型,云安全配置错误的威胁-南华中天

保护云部署

内部部署和云部署之间的差异会影响云中各种安全解决方案的有效性。许多为本地部署设计的安全解决方案在迁移到云部署时会失去部分或全部有效性。保护云计算需要专门针对云开发和实施安全策略和策略。虽然这些应该与组织的整体安全策略并行并符合,但它们的实施细节需要特定于云。组织需要旨在提供云部署可见性和控制的安全解决方案,尤其是 CSP 提供的安全配置和控制。