本文来自微信公众号“安全牛”。
在全球新冠疫情大流行期间,世界各地的企业组织纷纷将数字化建设的重点转移到为远程员工和虚拟环境提供支持,因此云计算的建设和应用得到了快速发展。而在此期间,一些非法攻击者也看到了机会,针对云计算的网络攻击开始不断增加。这让很多企业管理者对云计算的应用安全性产生了误解。
对于企业组织来说,准确认清云应用安全方面的事实和谎言是至关重要的,这将会直接影响其未来云化发展战略的决策与执行。在本文中,研究人员收集了目前关于云计算应用安全性的五个误区,并对其进行了分析和说明。
误解1:云计算的本质就是不安全的
自从企业组织开始向云上迁徙开始,许多科技类、行业类甚至安全类的专业媒体就一直在向公众反复传递一种观点,上云后会面临更大的安全挑战,云计算的本质似乎就代表了不安全性。持有这种观点的人,往往过分聚焦在云计算的一个特性:它实现了更广泛的访问和连接,可以从世界上任何地方通过互联网访问,所以很容易受到网络攻击和数据泄露等威胁。
其实,对于任何的信息化系统,完全保证安全都是不可能的。在传统网络系统上,即便企业大量采用了加密、防火墙、IPS、WAF、DLP等安全防护措施,攻击者也总有可能绕过这些防御措施,非法获取到敏感数据。对于云计算应用而言,其面对的安全威胁态势和传统信息化应用并没有明显的差别。而且,相比很多企业普遍存在的专业安全运营能力不足,云服务提供商(CSP)更有能力和条件,确保底层计算设备不断更新和加固,从而有效抵御各种可能的威胁。此外,目前主流的CSP均能够提供各种内置安全工具和能力,这大大简化了企业云安全管理的难度。
事实上,今天的CSP在保护客户云计算应用安全方面投入了大量资金和人力,因此可以说,CSP通常采用了比一般企业组织更先进的安全措施。他们有专门的安全团队,专职负责检测和应对安全威胁,并不断改善云计算平台的整体安全态势。这些安全团队会持续性地收集、研究最新的威胁情报,并不间断地对云计算平台安全威胁状况进行监控。
误解2:CSP可以窥视企业的云上数据
关于云计算应用的最大误解之一,就是CSP可以不受制约地访问和获取客户的云上数据。被媒体大量报道的云上数据泄露和非法访问事件则不断加剧了使用者的这一误解,引发了企业对云计算应用时的隐私性和数据安全担忧。
一旦数据进入云端,客户就几乎无法控制数据,这确实会引发企业的担心。但事实上,尽管CSP在向客户提供云计算应用服务时,有时会需要访问客户的云基础设施,但他们的各种运营行为都会受到严格而广泛的数据隐私法规约束,以确保用户云上数据的机密性和安全性。此外,CSP还需要按照监管机构要求严格管理和保护云上的数据安全,主动应对和降低数据泄露的风险。
误解3:实现云应用安全太过昂贵
造成这种误解的原因是,一些企业往往只关注了实现云应用安全的初始成本,却忽略云计算应用的长期性好处及投入性价比。通过将云基础设施和安全运营维护外包给CSP,企业组织可以在计算设备、软件系统和安全人员配备上节省大量的资金投入。
此外,CSP还可以提供可灵活的可扩展性,让企业更好适应未来不断变化的业务发展需求,从而实现对云计算资源的按需使用。当企业组织与CSP合作时,他们可以依靠CSP的专业知识和系统化资源来获得一流的安全性和灾备服务。避免了单独评估、管理和维护这些服务时的人力和成本投入。
误解4:只有大企业才能安全地使用云
对于很多中小企业组织来说,理解和使用云计算这样的技术是有一个学习曲线的。因此会产生一种误解,只有大企业才有条件安全的使用云计算。事实上,云计算具有足够的应用弹性,已成为各种规模企业都可以轻松应用的重要技术。
对于中小型企业组织来说,云计算提供了各种各样的服务,从基本文件存储到大数据分析、数据安全、测试和开发等等。云还为中小型企业提供数据安全、威胁检测和灾难恢复等安全性选项,其中很多能力在传统模式下只有大公司才能投入建设并使用。因此,可以认为云计算技术其实给很多中小型企业创造了一个和大型企业更加公平竞争的环境。
误解5:云计算会面临合规方面的挑战
尽管近年来云计算技术在政府、金融、交通、能源等行业中迅速落地应用,但也带来了一个新的误解,就是云计算技术难以符合目前的行业性法规和标准要求,会给企业带来应用合规方面的挑战。由于担心不合规的风险,很多企业也搁置了向云上迁徙的计划。
事实上,云计算具有更强大的安全措施和数据保护能力,可以帮助企业组织增强对法规和标准的遵从性。CSP在面向行业用户提供云计算服务前,都会投入大量资源开展应用的合规性建设,以确保其系统符合各种法规和标准(如HIPAA和GDPR)。
云技术通过提供数据管理和访问的实时可见性,使企业能够轻松跟踪和监控法规要求的合规性。该特性允许企业轻松识别和解决遇到了违规问题,从而降低违法风险。