2017年2月,專注于企業(yè)級(jí)溝通工具的Slack公司發(fā)現(xiàn)了一個(gè)漏洞,這個(gè)漏洞有可能導(dǎo)致Slack公司每天四百萬活躍用戶的數(shù)據(jù)泄露。而在當(dāng)月,專注于安全的內(nèi)容分發(fā)網(wǎng)絡(luò) CloudFlare公司也發(fā)現(xiàn)了另一個(gè)漏洞,泄露了CloudFlare公司的網(wǎng)站所存儲(chǔ)的數(shù)以百萬計(jì)的客戶敏感數(shù)據(jù)。3月7日,維基解密CIA Vault 7披露了涉嫌機(jī)構(gòu)黑客行動(dòng)的8761份文件。6月19日,數(shù)據(jù)安全公司Deep Root Analytics錯(cuò)誤部署了亞馬遜S3服務(wù)器,而這個(gè)服務(wù)器收集存儲(chǔ)了1.98億美國選民的信息。7月12日,Verizon公司也發(fā)生了同樣的問題,宣布由于第三方供應(yīng)商的Amazon S3服務(wù)器的一個(gè)配置錯(cuò)誤,暴露了1400多萬美國客戶的數(shù)據(jù)。
這至少是2017年在云應(yīng)用和基礎(chǔ)架構(gòu)方面的五大數(shù)據(jù)泄露事件,而現(xiàn)在才是下半年的開始。在今年上半年勒索病毒數(shù)量和其他攻擊數(shù)量顯著增加,很明顯云計(jì)算存在著真正的安全隱患。
到目前為止,大多數(shù)人都認(rèn)識(shí)到云計(jì)算的好處,而新的應(yīng)用程序和基礎(chǔ)設(shè)施快速上線運(yùn)營,并進(jìn)行擴(kuò)展,以滿足不斷變化的業(yè)務(wù)需求。雖然對(duì)于業(yè)務(wù)方面來說是非常有價(jià)值的,但是當(dāng)安全團(tuán)隊(duì)失去對(duì)新服務(wù)的實(shí)施方式和方式的控制時(shí),網(wǎng)絡(luò)就將處于危險(xiǎn)之中,其數(shù)據(jù)也將如此。而這樣,企業(yè)業(yè)務(wù)加快向云計(jì)算遷移,并維持所需的安全控制的平衡變得越來越困難。隨著數(shù)據(jù)暴露和違規(guī)行為的激增,這表明安全團(tuán)隊(duì)正在努力保護(hù)云計(jì)算的使用。
Slack公司出現(xiàn)的漏洞就是應(yīng)用程序級(jí)的一個(gè)很好的例子。Slack很容易使用和實(shí)施,這推動(dòng)了應(yīng)用程序的創(chuàng)紀(jì)錄的增長。部門,團(tuán)隊(duì)和小組可以輕松地在沒有IT批準(zhǔn)或支持的情況下將Slack進(jìn)行轉(zhuǎn)換,并且應(yīng)用程序的實(shí)例可以跨組織快速傳播。雖然Slack公司在已知的數(shù)據(jù)泄露事件發(fā)生之前修補(bǔ)了今年二月發(fā)現(xiàn)的漏洞,但如果被黑客入侵,攻擊者可能已經(jīng)擁有超過四百萬用戶賬號(hào)的全面訪問權(quán)限。
而Verizon公司所遭遇的情況,缺乏基礎(chǔ)設(shè)施層面的控制是導(dǎo)致大量客戶數(shù)據(jù)泄露的原因。當(dāng)服務(wù)器可以輕松上線,并由第三方合作伙伴進(jìn)行遠(yuǎn)程配置時(shí),可能會(huì)錯(cuò)過或忽略正確的安全協(xié)議。
隨著越來越多的企業(yè)將業(yè)務(wù)遷移到云端以及云計(jì)算服務(wù)的不斷發(fā)展,企業(yè)必須為關(guān)鍵業(yè)務(wù)SaaS應(yīng)用和IaaS資源建立統(tǒng)一的云安全和治理控制。在大多數(shù)情況下,云計(jì)算提供商將具有比任何公司可以維護(hù)和管理內(nèi)部部件更強(qiáng)大的安全性。然而,每個(gè)新服務(wù)都具有自己的安全功能,這可能會(huì)因配置過程中的功能差距或人為錯(cuò)誤而增加風(fēng)險(xiǎn)。獨(dú)立于供應(yīng)商添加附加的加密和策略控制,是企業(yè)將其數(shù)據(jù)完全委托給云計(jì)算提供商的一種經(jīng)過驗(yàn)證的方法,而不會(huì)放棄訪問權(quán)限的完全控制,同時(shí)確保員工在使用SaaS應(yīng)用程序時(shí)符合要求。這些控件允許企業(yè)向云端遷移動(dòng),而不會(huì)使其數(shù)據(jù)處于危險(xiǎn)之中。
現(xiàn)實(shí)是,威脅的頻率和嚴(yán)重程度正在增加。攻擊背后的黑客經(jīng)驗(yàn)豐富,更加老練,他們的意圖也更加險(xiǎn)惡。作為個(gè)人和企業(yè),將業(yè)務(wù)數(shù)據(jù)投入到云端,但目前還不存在一種完全防止黑客通過服務(wù),基礎(chǔ)設(shè)施或軟件提供商入侵的方法。保持對(duì)所有云服務(wù)的數(shù)據(jù)的控制是保護(hù)業(yè)務(wù)的最安全的方法。因?yàn)槿绻约憾紵o法讀取或使用這些數(shù)據(jù),那么這些數(shù)據(jù)有什么用呢?