由于云配置錯誤導致的數據泄露越來越多地成為新聞頭條。隨著云創新步伐的加快,開發安全事件反復上演。根據云基礎架構廠商VMware和云安全聯盟的聯合調查發現,2020年17% 的企業組織報告了配置錯誤導致的云安全漏洞。該研究強調,缺乏云安全知識、團隊協調、風險可見性和速度是阻礙企業安全團隊實施云安全配置的四個主要挑戰。
云安全知識欠缺
當被問及為什么無法解決導致漏洞出現的云配置錯誤時,59%的受訪者表示,云知識欠缺是云安全面臨的挑戰。目前,在大多數企業組織中,對整個組織進行安全培訓的重擔落在了IT團隊身上,有時還會看到一個安全架構師為企業組織中數百名開發人員和其他IT人員提供支持。云安全專家的稀缺可能會在整個企業組織內導致一連串的安全問題,但是,要找到熟悉云安全、經驗豐富的員工也并不容易。
團隊各自為戰
近一半(49%)的受訪者表示,他們的信息安全、IT 運營和DevOps團隊在云安全策略上不一致。企業組織的云安全治理需要不同團隊的參與,但每個團隊的安全或合規目標略有不同,未能保持治理策略的一致是一種安全或合規風險,對于試圖平衡開發速度與安全治理的開發人員來說是一個棘手的問題。在此背景下,企業組織應考慮建立一個集中的云卓越中心或跨職能團隊,以支持和管理企業組織內云戰略的執行。
風險可見性差
63%的受訪者表示,其所在企業組織無法防止云安全漏洞的主要原因是缺乏對錯誤配置的可見性,91%的受訪者表示,其所在企業組織目前正在使用解決方案來檢測和修復錯誤配置。企業組織之所以無法有效識別錯誤配置,是因為一般云提供商提供了部分云安全服務,在這種情況下,企業安全團隊經常對需要擔負的云安全責任感到困惑。
就自負責任而言,企業安全團隊需要對云服務有更廣泛和深度的風險可見性。這意味著企業安全團隊需要使用適當的策略監控云提供商、帳戶和服務,需要深入了解各種云資源、配置依賴關系以及黑客訪問數據或控制云環境的眾多路徑。目前,行業內缺乏有效的解決方案來進行全面的安全支持,即使企業安全團隊有監控云的解決方案,也未必具有良好的風險可見性。
應對遲緩
眾所周知,網絡犯罪分子可以在幾分鐘內快速識別并探查在互聯網上暴露的云資產。因此,企業安全團隊識別和修復錯誤配置的速度對于能否避免云安全漏洞被利用至關重要。不幸的是,在調查中發現大多數企業組織的云安全流程應對滯后。接近一半(44%)的受訪者表示需要一天多的時間來檢測配置錯誤,63%的人表示修復該風險需要一天以上的時間。
在此背景下,安全左移——倡導在軟件開發早期階段引入安全,使開發人員能夠在代碼生產之前修復錯誤配置就顯得尤為重要,也應該成為企業安全團隊的關鍵優先事項。但是,沒有哪種實現方法是萬無一失的,開發人員也不可能捕獲所有錯誤,因此,企業組織使用實時安全監控解決方案來補充DevSecOps方法,對于有效管理云風險至關重要。
由于人為因素導致的錯誤配置是云安全漏洞的主要原因。當然,讓開發人員能夠安全地使用云并降低錯誤配置風險仍然具有挑戰性。企業安全團隊提高云安全性的最快方法之一是從其他人所犯的錯誤中學習經驗教訓。
