行業(yè)非盈利組織云安全聯(lián)盟發(fā)布了一份關(guān)于云計(jì)算面臨的最大威脅的報(bào)告，結(jié)論是，最大的問題是由客戶造成的，而不是由云“解決方案”提供商（csp）造成的。

在云計(jì)算的早期，安全問題集中在多租戶（在相同的物理硬件上與其他客戶共享計(jì)算資源）的風(fēng)險(xiǎn)上，或者CSP在保護(hù)數(shù)字資產(chǎn)方面可能不如內(nèi)部IT部門做得好。

CSA表示，它“注意到傳統(tǒng)云安全問題在供應(yīng)商責(zé)任下的排名有所下降”。諸如拒絕服務(wù)、共享技術(shù)漏洞、CSP數(shù)據(jù)丟失和系統(tǒng)漏洞等問題現(xiàn)在被評(píng)為非常低的級(jí)別，因此被排除在本報(bào)告之外。相反，我們看到更多的是需要解決高級(jí)管理層決策導(dǎo)致的位于更高技術(shù)層次的安全問題。

沒有驚喜。但目前主要的云風(fēng)險(xiǎn)是什么？

排在首位的是數(shù)據(jù)泄露，云主機(jī)租用，其原因多種多樣，從被黑的賬戶和服務(wù)器漏洞，到數(shù)據(jù)在互聯(lián)網(wǎng)可訪問服務(wù)上不受保護(hù)。一個(gè)可能的原因被CSA錯(cuò)誤配置和不充分的變更控制列為單獨(dú)的風(fēng)險(xiǎn)。多云讓情況變得更糟。“使用多個(gè)云提供商增加了復(fù)雜性，因?yàn)槊總€(gè)提供商都有獨(dú)特的功能，虛擬主機(jī)，這些功能幾乎每天都在增強(qiáng)和擴(kuò)展，”該組織表示。這意味著企業(yè)無法跟上。

接下來是糟糕的云安全架構(gòu)，CSA將矛頭指向升降式遷移。如果你優(yōu)先考慮讓遺留應(yīng)用程序在不同的平臺(tái)上快速運(yùn)行，而不是為云重新設(shè)計(jì)它，那么你很可能會(huì)弄錯(cuò)。

憑證和密鑰管理是另一個(gè)重要的方面。報(bào)告指出，將密碼放在公共GitHub存儲(chǔ)庫(kù)中并不是個(gè)好主意。其他建議包括使用雙因素身份驗(yàn)證、根據(jù)業(yè)務(wù)需求和最小特權(quán)原則對(duì)賬戶進(jìn)行隔離和分段，以及刪除未使用的憑據(jù)。

csp并沒有完全擺脫困境。CSA表示，雙因素認(rèn)證應(yīng)該作為標(biāo)準(zhǔn)提供，然而，“不幸的是，許多csp只將雙因素認(rèn)證作為一種高級(jí)服務(wù)提供給客戶”。最大的csp似乎有這個(gè)權(quán)利，至少對(duì)于基本的多因素身份驗(yàn)證來說是這樣，但是對(duì)于較小的提供者來說，這仍然是一個(gè)問題。

另一個(gè)問題是，有時(shí)由于薄弱的策略或影子IT（發(fā)生在IT部門監(jiān)管之外的項(xiàng)目），組織對(duì)其使用的云服務(wù)沒有足夠的使用可視性。

最后，報(bào)告指出，csp有責(zé)任解決黑客和騙子濫用其資源的問題。這可能很困難，因?yàn)閏sp還需要觀察運(yùn)行在云中的客戶系統(tǒng)的機(jī)密性。CSA認(rèn)為，每個(gè)CSP都應(yīng)該有一個(gè)事件響應(yīng)框架來“解決資源濫用問題”。

從其中了解到，企業(yè)同樣有能力破壞安全性，無論它的IT系統(tǒng)是在本地還是在云中。云并不是一些人擔(dān)心的安全災(zāi)難，但是從本地系統(tǒng)遷移對(duì)修復(fù)薄弱的安全實(shí)踐毫無幫助。

【凡本網(wǎng)注明來源非中國(guó)IDC圈的作品，均轉(zhuǎn)載自其它媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。】