雲安全最容易被忽視的七個問題

摘要：雲安全聯盟報告顯示，越來越多的公司企業參與多雲採購，依賴多家提供商的雲環境。雲安全聯盟最新報告表明，約 55% 的公司企業經營著採用混合架構的雲計算環境。

雲計算於創新有益，卻給安全部門製造了麻煩。

雲計算正從 IT 服務交付可選項演變為事實標準。企業戰略集團 (ESG) 最近發布的《2019公共雲趨勢》報告指出，過去八年來，基礎設施及服務環境採用率激增，企業采納率從 17% 上升到 58%;39% 的企業報告稱其技術部署完全採用雲優先策略。

這對創新而言當然是大大的利好，但對掙扎於追趕雲技術、架構和用例持續發展變化的安全部門而言，就不那麼美妙了。他們面臨的大部分挑戰都與可見性有關。雲安全聯盟最近的報告顯示，在公共雲上托管有資產的公司中，3/4 將可見性缺乏列為主要挑戰。

我們不妨來看看都有哪些造成可見性困擾的雲安全盲點。

1. 業務管理IT

忘了 「影子 IT」 或 「流氓 IT」 吧。由業務線利益相關者購買和管理雲資產的技術採購模式，正被很多公司企業視為創新驅動力，熱切稱之為 「業務管理 IT」。《2019 Harvey Nash/畢馬威 CIO 聯合調查》也報告稱，當下超過 2/3 的公司企業要麼鼓勵，要麼允許業務管理 IT。因為這麼做的公司企業在市場上打敗競爭對手的概率，比不這麼做的公司企業高 58%，提供積極員工體驗的概率也高 38%。

問題在於，缺乏來自 IT 和網路安全人員的協作，這些雲技術可能成為公司企業的巨大安全盲點。這些公司創新更快，但其安全風險暴露面也是其他公司的兩倍。

2. 雲錯誤配置

基礎設施即服務 (IaaS) 和雲數據存儲的錯誤配置，是當今重大雲數據泄露和暴露的主要原因。無論是關閉雲提供商標準化的默認安全設置、使用默認密碼、特定服務開放不受限訪問，還是其他什麼操作，錯誤配置引入的大量隱藏風險，往往是許多令人難堪的安全事件背後的主因。最新出爐的《2019 雲安全報告》指出，約 40% 的公司企業認為雲平台錯誤配置是他們的主要安全顧慮。

3. 混合架構

雲安全聯盟最新報告表明，約 55% 的公司企業經營著採用混合架構的雲計算環境。混合架構為大型企業提供了逐步過渡到雲的良好途徑，但也引入了安全可見性問題，因為公司很難在整個架構上跟蹤資產，也難以跨無數複雜混合雲連接監視其上行為。事實上，Firemon 今年早些時候拋出的一個報告顯示，80% 的企業受到混合環境安全監管工具複雜性和有限性的困擾。

4. 多雲採購

雲安全聯盟報告顯示，越來越多的公司企業參與多雲採購，依賴多家提供商的雲環境。大約 66% 的公司企業擁有多雲環境，約 36% 依賴多雲和混合技術。

這就進一步遮蔽了安全人員的雙眼。Securosis 分析師，雲安全公司 DisruptOps 產品副總裁 Rich Mogull 寫道：「安全人員面臨的問題在於，不同提供商的安全模型和控制區別很大，而且往往文檔不全，還完全不兼容。誰要是告訴你通過幾節培訓課程，在幾周或幾個月時間里讓你掌握所有提供商產品的細微差別，那他要麼是無知，要麼是在撒謊。只有幾年時間的實踐經驗才能真正理解一家雲提供商的安全細節。

5. 容器與容器編排

隨著公司企業利用容器化的瞬時靈活性與可擴展性，滿足軟件開發持續集成/持續交付 (CI/CD) 快速發展的需要，雲中容器化工作負載和容器編排的使用也飛速躍升。但 Kubernetes 這樣的新平台，向雲環境引入新型錯誤配置與漏洞的速度，超出了安全團隊保護容器技術工作方式的能力。AimPoint Group 受 StackRox 委托進行的調查顯示，40% 的公司企業如今仍處於規劃容器環境安全策略或其基礎實施階段，另有 19% 根本就沒有容器環境安全策略。

6. 暗數據

未分類未托管的數據也稱為 「暗數據」，是當今大多數企業的嚴重問題，不管這些數據是在現場還是在雲端。根本不知道的資產是無法保護的，所以公司企業在暗數據保護方面束手無策。Vanson Bourne 近期為 Veritas 所做的調查中，暗數據問題在公共雲環境中尤為尖銳，3/5 的公司稱其公共雲數據中已分類部分少於一半。

7. 取證與威脅追捕遙測

安全團隊如今面對的一些重大雲盲點，與取證和威脅追捕遙測相關。公司企業不僅難以從各種不同雲資源獲取恰當信息饋送，即便能夠獲取到正確的信息饋送，他們面臨的也是一場硬仗。僅僅是整合數據，並將之與現場遙測關聯就已經是一場噩夢——某種形式的多儀表盤盲區呈現在事件響應和威脅追捕團隊面前。

SANS 研究所指出，一半以上的公司企業無法從其雲提供商處獲得用於取證的低級別日志和系統信息;能夠將自有取證與事件響應工具與其公共雲環境集成的公司企業不到 1/3。

• 《2019公共雲趨勢》報告：https://www.esg-global.com/hubfs/pdf/ESG-Research-Report-2019-Public-Cloud-Trends-Apr-2019.pdf?hsCtaTracking=cb4a5b98-896d-42b4-8da2-4cc325170ba3|2e2d925a-9721-4a66-8dbd-9bb8dd6bdd30
• 雲安全聯盟報告：https://cloudsecurityalliance.org/artifacts/cloud-security-complexity
• 《2019 Harvey Nash/畢馬威 CIO 調查》：https://www.hnkpmgciosurvey.com/
• 《2019雲安全報告》：https://www.cybersecurity-insiders.com/portfolio/2019-cloud-security-report-prospectus/
• AimPoint Group 為 StackRox 所做調查研究：https://www.stackrox.com/kubernetes-adoption-and-security-trends-and-market-share-for-containers/
• Vanson Bourne 為 Veritas 所做調查研究：https://www.veritas.com/form/whitepaper/realizing-the-power-of-enterprise-data
• SANS 研究所調查：https://www.sans.org/webcasts/109760?utm_medium=Referral&utm_source=PR+Log&utm_content=Analyst+Program+Webcasts+PR+04+2019+Cloud+Security+Survey&utm_campaign=Analyst+Program+Webcasts

【本文是51CTO專欄作者「李少鵬」的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文

>雲安全最容易被忽視的七個問題