【安防大数据】报告显示云中近四分之一的数据可归类为敏感

2018-11-16 21:33 作者:产业新闻 来源:环亚ag88手机版

  如今,云计算革命正在来临。越来越多的企业将关键IT基础设施和数据迁移到云端。此举将受到云平台巨大潜力的推动,这些平台承诺提供前所未有的运营效率、生产力、灵活性、敏捷性,以及盈利能力。但任何一种技术都有其优点和缺点。在这种情况下,另一方面是缺乏所有权和控制权,因此缺乏安全性。

  云计算的本质使其容易受到数据攻击等网络犯罪的影响。而数据泄露事件频发强调了云计算安全的重要性,以及维护数据完整性的必要性。

  最近的一项调查研究表明,到2020年,83%的企业工作负载在云计算中运行。此外,为了实现数字化转型和客户满意度,全球一半的企业将至少使用一个云平台。云平台已经存在大量敏感数据,随着时间的推移,高价值数据的数量将呈指数级增长。人们已经看到数据在云中受到损害的情况,其中包括市场营销数据、健康记录、选举数据等。

  随着更多数据迁移到云端,保持这些数据的安全性和完整性变得至关重要。云端对于网络攻击者来说是一个有利可图的目标,因为它存在于组织内部,例如知识产权、关键任务商业机密和个人信息。这是当今黑客主要关注的目标。

  针对不断增长的劫持事件和云计算数据盗窃企图,谷歌公司最近宣布了“屏蔽虚拟机”,以保护云计算服务器免受rootkit侵害。其他云计算服务提供商(CSP)也推出了新的云计算安全技术,以防止恶意攻击。但是,作为这些云计算平台的用户,企业必须了解最终的问责制,确保不要将一切都交给云计算服务提供商(CSP)。

  在采用云计算之前,有必要采取一些措施来加强安全性,并消除潜在的漏洞或缺陷。这被证明是一项挑战,因为当企业将部分或全部流程迁移到云中时,从安全角度来看缺乏准备。在许多情况下,IT团队突然意识到他们不再能够控制他们的数据,并且争相采取补救措施。这从根本上强调了在保护组织在云中的资产时缺乏集中的安全方法。计划利用基于云计算的IT和处理资源的企业必须广泛分析和评估与使用云计算等颠覆性技术相关的风险。

  无法保护云中的数据,也是使云计算安全背后的思维过程复杂化的直接结果。如果企业计划迁移到云端,请首先考虑如何保护内部部署服务器上的数据,以及为保护数据和控制及管理其访问权而实施的各种检查和平衡。现在考虑如何采用相同的步骤来保护云中的数据。

  全球知名的信息安全厂商McAfee公司日前发布了云采用和风险报告,该报告分析了匿名客户在云平台运行所遭遇的数十亿个安全事件,以评估云计算部署的当前状态,并发现风险。

  该报告显示,云中近四分之一的数据可归类为敏感数据,如果数据被盗或泄露,组织将面临风险。

  云中的数据这个研究发现,虽然组织积极采用公共云为其客户创建新的数字体验,但通常每个企业的基础设施即服务(IaaS)和平台即服务(PaaS)每月遭遇2,200多次错误配置事件。

  云计算服务提供商主要关注云平台本身的安全性,而不是客户数据或客户对其基础设施和平台的使用。

  组织始终负责保护他们无处不在的数据,因此强调需要部署跨越整个云平台范围的云安全解决方案,从SaaS(软件即服务)到基础设施即服务(IaaS)和平台即服务(PaaS)。

  McAfee公司云计算安全业务高级副总裁Rajiv Gupta表示,“在云中运营业务已经成为组织的新常态,以至于企业员工在云中存储和共享敏感数据时没有谨慎考虑。

  SaaS云服务中的意外共享、协作错误、IaaS/PaaS云服务中的配置错误以及威胁都在增加。为了继续加速业务发展,企业需要采用云原生并且没有不良影响的方式持续保护其数据,并防御各种SaaS、IaaS和PaaS中的威胁。”

  云协作是一种祝福也是一种诅咒云计算服务通过快速扩展的能力为组织业务发展提供了一个重要的机会,使企业能够灵活地利用其资源,并提供新的协作机会。

  像Box这样的云计算服务和Office 365等生产力套件用于提高协作的流动性和有效性。

  为了保护云存储、文件共享和协作应用程序中的敏感数据,组织必须首先了解其正在使用的云服务,保存其敏感数据,以及如何共享这些数据以及与谁共享。

  一旦组织获得了这种可见性,他们就可以执行适当的安全策略,禁止将高度敏感的数据存储在未经批准的云服务中,并提供防护措施,防止不合规地共享来自获得批准的云计算服务的敏感数据,例如与个人电子邮件共享数据时地址或通过公开的公共链接。

  IaaS和错误配置的风险使用SaaS,保护数据、用户身份和数据访问主要是客户的责任。通过IaaS,客户可以承担更大的安全责任,其中包括数据、身份、访问、应用程序、网络控制和主机基础设施。

  虽然这为客户提供了更好地控制其云计算基础设施的机会,但它也增加了组织的安全风险表面积以及他们对此的责任。IaaS提供商(如AWS)提供多种基础设施和平台服务,每种服务都具有深入而复杂的安全设置。放大IaaS/PaaS安全挑战的事实是,组织使用多个IaaS/PaaS供应商的服务运行每个供应商产品的多个实例。McAfee公司的调查研究发现:

  使用IaaS/PaaS服务中,94%采用的是AWS公司的云平台,但使用IaaS/PaaS的组织中,78%的企业同时拥有AWS和Azure的云平台。

  企业平均每次运行14个配置错误的IaaS /PaaS实例,导致每月发生2,200多个单独的配置错误事件。

  McAfee公司建议,组织需要不断审核和监控其AWS、微软Azure、谷歌云平台和其他IaaS /PaaS配置,同时保护存储在IaaS/PaaS平台中的数据。作为本地数据中心的替代方案,IaaS /PaaS的使用量正在迅速增长。

  在遭遇安全事件之前,企业需要尽到他们的安全责任,采取数据保护和威胁防御措施,就像他们对SaaS云计算服务以及IaaS/PaaS云计算服务的配置合规性和安全保护工作负载一样。