近日,微軟雲服務漏洞接連兩次被曝光,漏洞可能導致駭客訪問、修改和刪除客戶資料,或資料相互洩露。360政企戰略小組高階安全專家魏小強指出,雲上配置非常複雜,對於上雲的企業而言,僅僅依靠雲平臺廠商所提供的安全服務是不夠的,還需要依靠一些補充的安全能力和服務,如依靠專業第三方安全廠商來幫助企業保障其業務上雲安全。
8月末,微軟Azure的旗艦產品Cosmos資料庫中被曝存在漏洞,駭客能夠透過該漏洞訪問、修改和刪除數千名 Azure 客戶的資料,9月上旬,微軟又釋出一條關於 Azure 容器例項(ACI)服務的安全公告,稱發現了一個漏洞,使得同一個伺服器叢集中的使用者資料有可能相互洩露。
雲安全風險正在急劇擴大,上雲導致資料洩露的例子已然不少。根據IDC 2020年的一份調查報告顯示,在過去的18個月中,近80%的公司至少經歷了一次雲資料洩露,而43%的公司報告了10次或更多洩露。
企業上雲已經是大勢所趨。在過去的十年中,雲服務的使用持續增長,尤其在發生疫情後,許多企業加速數字化轉型,以便讓員工能夠在家中工作。
不過,上雲以後,許多安全問題也暴露出來。上述報告指出,受訪者被要求選擇他們的組織在採用公有云時遇到的麻煩,最常選擇的回覆是“網路安全”。 據瞭解,雲安全的首要擔心是資料丟失和洩露,其次是資料隱私和保密。
魏小強指出,頻頻出現雲安全問題,原因主要有三點。一是,雲應用本身的特點使得網路攻擊面增大,例如遠端辦公的員工在家、咖啡廳、網咖、機場等公共場所,而這些公共場所往往沒有采取足夠嚴格的網路安全措施,很容易被網路犯罪分子所利用,竊取受害者的賬號、密碼,誘騙其點選非法連結,種植木馬,進而實現監控其電腦,並透過其個人電腦發起對企業敏感資料的攻擊、竊取等。
二是,上雲以後,企業的IT環境變得異常複雜,企業的應用可能分佈在公有云、私有云、資料中心等多個地方,缺乏統一的安全管理措施,傳統安全防禦體系無法滿足雲的彈性需求,多雲環境下缺乏有效的安全手段,從而導致不斷出現新的安全孤島,暴露面增大,顧此失彼,資料洩露頻繁發生。
三是,企業缺乏專業安全人員,傳統安全維護團隊往往缺乏雲上的安全經驗。企業上雲後,雲上業務系統的管理直接在網際網路上進行,很可能一個管理員的誤操作都會導致特權賬號暴露被攻擊。大量的雲上的安全問題都因為操作失誤或配置錯誤導致,安全人才的缺乏將延緩企業上雲程序。
企業如何保障自身上雲安全?魏小強建議,無論在選擇公有云、自建私有云,或者大多數企業採用的混合雲的方式時,企業都需要選擇可信的合作伙伴。
首先,企業需要理解公有云的責任共擔模型,審查雲供應商的具體合作服務條款和保障;其次,企業要加強安全培訓,瞭解雲安全風險,增強自身安全風險意識;另外,要控制使用者的訪問許可權,保護使用者終端,保持雲服務的安全可見性,對敏感資料加密等,需要構建其整體雲安全戰略框架及執行策略;最後,結合自身安全能力,選擇高水平的安全合作伙伴,共同構建雲時代的安全防禦體系。
實際上,已經有越來越多的企業透過與第三方安全公司合作來保障上雲安全。雲安全聯盟報告指出,使用雲供應商的額外安全控制措施的比例從2019年的58%躍升至2021年的71%,另外約有一半的組織轉向第三方供應商的虛擬版本的防火牆進行網路安全控制。如360憑藉多年來在網路安全行業的深厚積澱,在360安全大腦賦能下遵循Gartner/SASE模型,基於零信任架構,融合網路和安全,提出了多雲安全網路和安全融合框架,構建多雲安全管理雲平臺,為企業上雲安全保駕護航。
文/北京青年報記者 溫婧
編輯/樊宏偉
