日前推出的兩個新的調查報告表明企業在部署公共云、私有云和混合云的風險有著巨大差異。以下是關于企業成功實施云計算安全策略所需的工具、信息和組織結構的建議。

如今，將數據和服務遷移到云端已經讓很多公司反思他們的安全策略和措施。他們是否需要云計算安全策略？他們的云計算安全策略有什么不同？最近的兩項調查揭示了企業的安全策略如何變化，更重要的是它們應該如何改變。

在云端部署更多的IT基礎設施在某種程度上比內部部署的數據中心更加安全。例如，企業可以清楚了解系統正在運行的最新版本，并及時提供適當的補丁。云計算服務提供商也正在構建新的功能，例如使用機器語言進行異常檢測。但是這也帶來了新的風險，其中一些是企業誤解了如何管理云計算安全的結果。

企業需要了解云計算IT戰略（無論是混合云、私有托管還是公共云）如何影響其網絡安全策略以及該策略的戰術執行情況，這一點非常重要。

什么是云計算安全風險？

在云計算安全提供商Alert Logic公司的調查報告中，分析了與內部部署數據中心相比的各種形式的云環境的風險性質和數量。在18個月的時間里，該公司分析了來自3800多名客戶的147 PB數據，并對安全事件進行了量化和分類。在此期間，該公司分析了超過220萬個企業積極應對的安全事件。其主要發現包括：混合云環境的安全事件數量最高，達到977起，，其次是托管私有云（684），內部部署數據中心（612）和公共云（405）。

到目前為止，最常見的事件類型是Web應用程序的攻擊（75%），其次是暴力攻擊（16%），偵測（5%）和服務器端勒索軟件（2%）。

Web應用程序攻擊最常見的因素是SQL（47.74%），Joomla（26.11%），Apache Struts（10.11%）和Magento（6.98%）。

Wordpress是最常見的暴力攻擊的目標（41%），其次是MS SQL（19%）。

無論是公共云、私有云還是混合云環境，Web應用程序的威脅是主要因素。他們之間的不同是企業所面臨的風險水平。“Alert Logic公司從安全廠商的角度來看，公共云的有效保護能力較高，因為有著更好的信噪比和較少嘈雜的攻擊。”Alert Logic公司Misha Govshteyn聯合創始人說，“在公共云環境中發生安全事件時，企業應該會更多地關注，因為它們通常比較隱秘，不易被人發現。”

調查表明，一些平臺的安全性比其他平臺更脆弱。 Govshteyn說：“盡管企業盡了最大的努力，但還是會增加攻擊面。”他舉例說，“人們普遍認為，LAMP堆棧比基于微軟的應用堆棧更加脆弱。”他還將PHP應用程序視為一個熱點。

Govshteyn說：“內容管理系統（尤其是Wordpress，Joomla和Django）作為Web應用程序的平臺，其安全性的脆弱性遠遠超過大多數人的想象，并且具有許多漏洞。只有了解這些特性的開發團隊傾向于使用的Web框架和平臺，才能保證這些系統的安全。大多數安全人員很少關注這些細節，而是根據糟糕的假設做出決定。”

為了最大限度地減少云計算威脅的影響，Alert Logic公司有三個主要建議：依靠應用程序白名單來阻止對未知程序的訪問。這包括為組織中使用的每個應用程序進行風險與價值評估。

了解企業自己的修補過程并優先安裝補丁程序。

根據當前用戶的職責限制管理和訪問權限。這將需要企業保持最新的應用程序和操作系統的權限。

如何保護云平臺

網絡監控解決方案提供商Gigamon公司委托市場研究機構VansonBourne公司進行的調查表明，73%的受訪者表示他們的大部分應用工作負載運行在公共云或私有云中。然而，這些受訪者中有35%的人希望以“完全相同的方式”處理網絡安全，就像他們在內部部署數據中心操作一樣。其余的人表示他們別無選擇，只能改變他們對云計算的安全策略。

當然，并不是每個公司都將敏感或重要的數據遷移到云中，所以對于他們而言，改變策略的理由就更少了。但是，大多數公司正在遷移關鍵和專有公司信息（56%）或營銷資產（53%）。47%的人希望在云端擁有個人身份信息，這由于將會受到新的隱私法規即將實施（例如歐盟的GDPR）的影響。

Govshteyn表示，企業應該把重點放在云計算安全策略的三個主要領域上：

1.工具。企業在云環境中部署的安全工具必須是原生的，并且能夠保護Web應用程序和云端工作負載。 Govshteyn表示：“安全技術都集中在端點保護制定一套攻擊向量。這在云端并不常見，并且沒有足夠的能力處理OWASP的十大威脅，這占到所有云計算攻擊的75%.”他指出，端點威脅針對的是Web瀏覽器和客戶端軟件，而基礎設施威脅則針對服務器和應用程序框架。