很多組織為了快速創新而繼續做出選擇,這會使他們不必要地處于脆弱狀態。
開發人員可能會感到急于部署的壓力,但是為節省時間而略過安全性可能會給持續存在的風險敞開大門。Unit42公司發布的最新《云計算威脅報告》的發現表明,快速行動、競爭性戰略以及對安全策略的關注松懈,這是很不幸的。Unit42是網絡安全提供商Palo Alto Networks的威脅情報部門。
隨著組織將更多工作負載遷移到云中,對健壯安全性的需求看起來幾乎是學術性的。Palo Alto Networks的公共云首席安全官MatthewChiodi表示,問題在于,這些組織是由保持領先于競爭對手的需求所驅動的,這可能會導致數據泄露。他說:“在去年7月發布的上一份報告中,我們發現的一大事情是,公開披露的云安全事件中有65%是客戶配置錯誤的結果。”他說,最新報告旨在解決比率為何如此之高的原因。
Chiodi說,傳統的本地數據中心報告的安全事件可能更少,部分原因是廣泛的變更管理和控制。他說:“要在這些環境中進行更改,通常必須獲得多個批準。由于持續需要相關性并在競爭中處于領先地位,因此此類協議可能會在云中放寬。企業首席執行官們將增長和創新速度置于成本之上。這種推動使DevOps團隊尋求了更快移動和更快推出應用程序的方式。”
根據云計算威脅報告,Unit42的研究確定了基礎設施中大約200,000個潛在漏洞作為代碼模板。此外,超過43%的云計算數據庫未加密。另外40%的云存儲服務未激活日志記錄。
Chiodi表示,組織通常將基礎設施實現為代碼模板,因為它們可以使開發人員更快地工作。他說,問題不在于基礎設施作為代碼模板,而在于開發人員匆忙不對模板執行安全性或風險檢查,云服務器租用,從而在其云計算環境中引入漏洞。
他說,這種對基礎設施的錯誤配置可能會留下網絡犯罪分子尋求加密劫持和其他惡意手段的機會。此外,Chiodi說,在云計算環境中禁用日志記錄將使捕獲此類不良行為者變得更加困難。幾乎不可能證明或證明有違規行為。
他說,盡管已經努力向開發人員介紹安全的重要性,但大多數開發人員仍認為,云服務器,他們的首要任務是盡快推出新功能。Chiodi說:“他們本來可以設計安全性的,但在許多情況下不會發生這種情況。許多組織尚未接受DevSecOps的概念。”
Unit42的研究表明,諸如消費者公司之類的前瞻性組織希望以云計算規模運營,為眾多用戶提供服務,同時保持安全性。Chiodi引用Netflix作為一家這樣做的公司是因為它完全集成了開發、安全性和運營。他建議安全團隊也應該將基礎設施作為代碼,以自動將書面安全策略放入代碼中。他說:“這樣,開發人員創建新的云計算環境時,如果已正確編寫安全標準編碼,則他們每次使用該模板創建的時間都將相同。”相反,Chiodi說,具有漏洞的模板每次應用都會重復這些漏洞。
隨著組織繼續快速發展,他認為他們需要提高對云中運行內容的可見性,從而增強了執行安全標準的重要性。Chiodi說:“人們無法保護看不到的東西。”
【凡本網注明來源非中國IDC圈的作品,均轉載自其它媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。】
延伸閱讀:
關注中國IDC圈官方微信:idc-quan 我們將定期推送IDC產業最新資訊
查看心情排 行你看到此篇文章的感受是:
2020-03-03 17:48:36
云技術 云網絡vs.云計算:有什么區別?
云網絡與云計算的比較突出了這兩種策略之間的一些相似之處,但是它們是不同的。盡管云計算關注應用程序的運行方式,但云網絡關注應用程序的訪問方式。 <詳情>
2020-03-03 17:47:02
云資訊 預見2020年公有云發展十大趨勢
走過2019年,我們不難發現,公有云的發展不只是公有云的云服務發展,還融入了更多有意義的內容。 <詳情>
公有云 云計算
2020-03-03 11:53:30
云資訊 10個容易被忽略的云陷阱
云的優勢是眾所周知的。但是,尋求利用云服務的IT領導者也應該注意這些可能影響到您的戰略和底線的特定于云的問題。 <詳情>
云陷阱 云計算
2020-03-02 18:27:04
