介绍

上个月,最近两起涉及无担保AWS存储的入侵事件成为了公众的共识。第一,视频编辑应用VEED。io,留下了潜在的数以千计的用户视频,任何人都可以直接通过存储桶的URL访问它们。第二起案件涉及一家名为Onlinevitalus的公司,曝光了逾70万份出生证副本的申请,其中包含用户出生日期等信息。涉及云存储桶中错误配置的权限的泄露并不是什么新鲜事;新的情况是,对这些数据泄露事件的报道基调发生了转变,不再是“云数据泄露”。在这两起事件中,媒体报道都声称,云用户公司要对权限事故负责。

在大多数情况下,这是完全合适的。默认情况下,新创建的S3桶是私有的;必须配置访问权限。AWS身份和访问管理(IAM)策略允许用户级别的权限;桶策略和acl也控制访问。AWS Trusted Advisor提供的免费权限检查是可用的,在公开访问的存储桶上有一个明确的“公共”标签,S3存储桶有一个单独的公共访问设置,允许用户为他们的帐户设置默认访问设置。简而言之,云提供商已经采取了一系列措施来保护用户免受自身配置失误的影响,而安全/技术行业媒体已经注意到这一点,并转移了对谁是责任人的报道。

451 Research的《企业之声:信息安全研究》(Voice of the enterprise: Information Security studies)过去四年的研究结果表明,企业对云风险的理解也发生了类似的转变。188宝金博网址是多少越来越多的企业正在使用云服务来处理复杂、关键任务和高风险的应用程序188bet金博宝是什么,目前的趋势还在继续。

451年花

围绕云计算的安全担忧主要集中在数据丢失和缺乏控制方面,但人们对云计算安全性的看法正在发生变化,这就回答了安全管理人员如何保护云计算变得更加复杂和更加依赖于安全监控的问题。因此,很少有企业认为云对高风险应用来说“风险太大”。这一点也不奇怪——云计算的发展要求企业安全管理人员加快速度,但不止如此。随着时间的推移,合作伙伴网络、市场产品、内置在云产品本身中的控制和护栏,以及云基础设施安全产品的供应商生态系统都得到了改进。毫无疑问,企业仍在考虑如何实现这一切,根据451 Research终端用户研究的现场采访,但答案是“你将如何保护你的云?”188宝金博网址是多少与几年前相比,他们明显更老练了。



共同的责任

安全性通常被引用为云采用的抑制剂。在451研究的早期定量研究中,对安全管理人员如何保护其企业云基础设施的问题的回应通常是188宝金博网址是多少“无论云供应商提供的内容。此后,这两个响应的问题在于它从根本上误解了托管云中资源时存在的共同责任的性质。

“人们把(云安全)视为不同的野兽,但它真的不是。它只是其他地方的一个服务器。而是理解缺乏控制。如果你以Amazon为例,我想说大多数人都不理解Amazon的共享安全模型....亚马逊有一份庞大的文件来解释它,但问题是:每个人都读它吗,还是他们只是做假设?”
- IT/工程经理和员工,10,000-49,999名员工,100亿美元以上的收入,房地产

这并不是因为主要的云供应商缺乏教育消费者的尝试——例如,微软和AWS都发布了共享责任模型。对于微软来说,它是一个三层模型,说明用户负责信息和数据、设备、帐户和身份,而微软负责物理主机、网络和数据中心。其他部分,如网络控制、操作系统或应用程序,处于客户和云提供商之间的中间状态,这取决于所提供的服务。AWS将责任设置的不同描述为“云安全”和“云安全”,前者依赖于自身,后者依赖于客户的决策。安全团队在451年研究预测,这个共同责任模188宝金博网址是多少型需要一个学习曲线的早期讨论一个简化的概念叫做“控制台安全”——或者是用户,而不是云提供商,负责安全的从控制台。

“我们没有使用[Azure]我们想要使用的程度。我们一直在努力,确保所有安全参数都有谨慎,并且有足够的护栏到位,这是一个漫长的过程。所以我们还有一些应用程序,我们正在研究一些将在下季度和明年居住的大型举措。“
-高级管理层,10万多名员工,100多亿美元收入,消费零售产品和服务188bet金博宝是什么

对云风险的看法转变

在我们的企业之声:信息安全调查中,从2015年开始,每年都会被问到以下问题:您如何最好地描述您的组织目前对托管云计算平台(托管私有云,IaaS或PaaS)的使用政策?其背后的理念是确定安全管理人员对企业云计算计划的看法每年可能发生的任何变化。

图1:安全的侵蚀是云采用的阻碍因素

来源:《企业信息安全之声,2019年预算与展望》

虽然趋势很少是直线发展的,特别是在试图衡量风险态度的调查研究中,一些趋势已经出现。第一个是通过其他来源证实的——没有使用任何形式的云计算基础设施的组织的比例正在下降,从2015年的18%下降到2019年的14%。第二个趋势是图表中突出显示的。2015年,27%的公司已经将培训车轮从云基础设施中移走,考虑将其用于托管任何应用程序,而不考虑风险概况或对组织的重要性。四年后的2019年,这一比例增至35%。虽然云的支持者可能希望有一个更大的增量,但安全团队在采用新技术方面往往比较保守,一个清晰的趋势线正在出现。

企业规模并不像某些人认为的那样,是对云风险态度的一个预测因素;事实上,组织越大,在这个问题上它的做法就越保守。在员工人数超过1万人的企业中,48%的企业将托管云限制为低风险应用程序,35%的企业说云可以用于任何事情。在这种规模的企业中,只有9%的企业没有针对公共云的政策,所以大型企业更有可能考虑过公共云。相比之下,拥有250-999名员工的组织中有30%限制云的使用,员工少于250人的组织中有24%限制云的使用。

对云风险态度的最有力预测因素是组织采用技术的方法。66%(66%)的人将他们的组织划分为“早期采用者”,对云的使用没有限制。38%的“务实的,但会尽早行动”的人同样会使用云计算,不管应用程序的风险有多大。相比之下,20%的人认为他们的组织是“保守的”,20%的人认为他们的组织是“怀疑的”新技术。如果早期的采用者被视为风向标,这就进一步表明安全正在被侵蚀,成为云部署的阻碍因素。
丹尼尔•肯尼迪
研究总监,企业之声:信息安全

丹尼尔·肯尼迪负责管理研究过程的所有阶段。他是一位经验丰富的信息安全专家曾为《福布斯在线》和《Ziff Davis》撰稿,曾为包括《纽约时报》和《华尔街日报》在内的众多新闻媒体提供评论,他的个人博客“禁卫长官”被RSA 2010会议认定为信息安全领域的五大技术博客之一。

Jeremy Korn.
研究助理

杰里米·科恩(Jeremy Korn)是451研究公司的助理研究员。188宝金博网址是多少他毕业于布朗大学,获得生物学和东亚研究学士学位 一个马在哈佛大学的东亚研究中,他运用定量和定性的方法研究中国电影产业。

亚伦谢里尔
高级分析师

亚伦·谢里尔是451研究公司的高级分析师,主要研究新兴趋势和创新188宝金博网址是多少托管服务和托管安全服务领域的中断。188bet金博宝是什么Aaron在多个行业拥有20多年的经验,包括在联邦调查局(Federal Bureau of Investigation)从事IT管理工作。

想读更多的书吗?现在就申请审判。