日前,國(guó)際信息安全軟體提供商卡巴斯基實(shí)驗(yàn)室表示,將近一半的使用雲計(jì)算的企業(yè)不知道他們的數(shù)據(jù)是在本地部署的數(shù)據(jù)中心還是在雲端存儲(chǔ)和處理,這使得網(wǎng)絡(luò)安全問(wèn)題顯得更為突出和緊迫。
42%的雲採用企業(yè)缺乏對(duì)數(shù)據(jù)存儲(chǔ)位置的清晰認(rèn)識,這就意味著他們不知道數(shù)據(jù)是否安全。
近一半的企業(yè)和中小企業(yè)遭遇過(guò)第三方雲主機(jī)的數(shù)據(jù)盜用,大多數(shù)人並沒有意識到這些提供商並不會(huì)對(duì)數(shù)據(jù)盜竊負(fù)責(zé)
卡巴斯基實(shí)驗(yàn)室的一份新報(bào)告呼籲人們關(guān)注一個(gè)日益嚴(yán)重的問(wèn)題,稱(chēng)之為“cloudzoo”:企業(yè)根本無(wú)法包裝其IT部門(mén)的數(shù)據(jù)。
如果不清楚數(shù)據(jù)的位置和狀態(tài),或者控制數(shù)據(jù)的存在,企業(yè)就會(huì)越來(lái)越面臨一個(gè)他們無(wú)法確定的網(wǎng)絡(luò)安全格局。大約42%的企業(yè)和36%的中小企業(yè)都表示不知道他們的數(shù)據(jù)所在的位置,因此不了解其完整性或安全性。
78%的企業(yè)至少使用一種雲解決方案,因此“cloudzoo”越來(lái)越受到關(guān)注。隨著在線(xiàn )數(shù)字解決方案的採用率接近100%,企業(yè)需要敏銳地意識到每一點(diǎn)數(shù)據(jù)。
誰需要對(duì)雲計(jì)算安全負(fù)責(zé)?
卡巴斯基指出,雲計(jì)算應(yīng)用的增長(zhǎng)已經(jīng)導(dǎo )致了企業(yè)對(duì)誰負(fù)責(zé)數(shù)據(jù)安全的認(rèn)識上的模糊:企業(yè)認(rèn)為是他們的雲提供商負(fù)責(zé),但合同經(jīng)常專(zhuān)門(mén)聲明其他情況。
卡巴斯基在報(bào)告中說(shuō):“服務(wù)水平協(xié)議通常指出,服務(wù)提供商只涵蓋‘服務(wù)可用性’和‘雲計(jì)算基礎(chǔ)設(shè)施的安全性’。這意味著,雲端數(shù)據(jù)受到勒索軟體或DDoS攻擊和影響是客戶(hù)的責(zé)任。”
大約41%的企業(yè)和46%的中小企業(yè)因為第三方雲存儲(chǔ)漏洞而竊取了客戶(hù)數(shù)據(jù)和員工信息,如果這些企業(yè)達(dá)成類(lèi)似於上述的協(xié)議,則他們沒有任何人需要追究責(zé)任。
報(bào)告稱(chēng),在10個(gè)SaaS和雲計(jì)算企業(yè)中,有7個(gè)沒有計(jì)劃(huà)來(lái)處理上述的安全事件。這些公司的四分之一甚至表示他們沒有檢查雲計(jì)算合作夥伴的合規(guī)憑證。
培訓(xùn)雲計(jì)算安全管理人員
如果採用的雲計(jì)算混亂不堪的話(huà)。這意味著需要對(duì)這種情況進(jìn)行管理。卡巴斯基提供了一些關(guān)於如何處理雲計(jì)算安全的建議,因為將繼續(xù)變得越來(lái)越重要。
通過(guò)實(shí)施雲計(jì)算生態(tài)系統(tǒng)可見(jiàn)性計(jì)劃(huà),了解哪些文件保存在哪裡。請清楚地列出企業(yè)使用的所有服務(wù),誰負(fù)責(zé)每個(gè)服務(wù),包含哪些服務(wù),以及目的是什麼。企業(yè)使用的雲計(jì)算系統(tǒng)的每一部分,無(wú)論是混合雲,託管數(shù)據(jù)中心還是公共雲,都應(yīng)該採取安全措施,將其視為本地文件進(jìn)行存儲(chǔ)。為最終違反的供應(yīng)商制定安全計(jì)劃(huà)。這不是一個(gè)會(huì)不會(huì)發(fā)生的問(wèn)題,而是一個(gè)什麼時(shí)候發(fā)生的問(wèn)題。
實(shí)施可靠的訪(fǎng)問(wèn)控制策略,並知道誰能夠使用哪些雲計(jì)算服務(wù)。如果可能的話(huà),將雲計(jì)算服務(wù)放在單一登錄或密碼管理平臺(tái)上。用戶(hù)只有在已經(jīng)通過(guò)該服務(wù)驗(yàn)證身份後才能獲得訪(fǎng)問(wèn)權(quán)限