Capital One公司遭遇的數(shù)據(jù)泄露事件凸顯了IT領導者迫切需要對配置錯誤進行補救。專家指出，這就是云安全狀態(tài)管理技術和其他安全工具發(fā)揮作用的地方。

安全漏洞問題已經(jīng)讓越來越多的組織對新興安全軟件很感興趣。例如，云安全狀態(tài)管理（CSPM）技術可以對云計算環(huán)境進行搜索，并向企業(yè)員工發(fā)出有關配置問題和合規(guī)風險的警報，其中大部分問題是人為錯誤。

2019年，金融服務提供商Capital One公司發(fā)生了一起數(shù)據(jù)泄露重大事件，當時一名AWS公司的員工啟用了一個配置錯誤的Web應用防火墻（WAF），Capital One公司將其作為在AWS云平臺中托管的一部分，使其大量客戶數(shù)據(jù)泄露。2018年，沃爾瑪公司和GoDaddy公司使用的AWS存儲實例之后大量數(shù)據(jù)對外泄露，因為其他人可以通過AWS存儲實例在全球互聯(lián)網(wǎng)上訪問這些數(shù)據(jù)。

云平臺中的配置錯誤

調(diào)研機構Gartner公司分析師Neil MacDonald表示，大多數(shù)企業(yè)的首席信息官在調(diào)查中表示，他們的數(shù)據(jù)存放在云計算供應商的云平臺那里更安全，但是由于人為錯誤和網(wǎng)絡攻擊，使很多企業(yè)的數(shù)據(jù)對外泄露。Gartner公司的調(diào)查表明，實際上，到2025年，99%的云安全故障都是客戶自身的過錯。

MacDonald說：“他們最擔心的問題是，內(nèi)部員工所犯的一些錯誤會讓他們的數(shù)據(jù)泄露?！?/p>

Land O‘Lakes公司首席安全官 Tony Taylor表示，例如，迫于DevOps截止日期，很多企業(yè)的開發(fā)人員匆忙啟動新的虛擬機，而在無意間將其網(wǎng)絡暴露在外。

常見的配置錯誤暴露了云存儲文件夾和數(shù)據(jù)傳輸協(xié)議，這些文件夾和數(shù)據(jù)傳輸協(xié)議可以通過全球互聯(lián)網(wǎng)訪問，并且用戶帳戶具有過多的訪問權限。此前，工作人員通過人工檢查或者編寫自動腳本進行檢測，從而發(fā)現(xiàn)此類漏洞。

檢查云計算安全狀態(tài)

MacDonald表示，由于云平臺具有高度自動化和用戶自助服務（例如，基礎設施即服務和平臺即服務），凸顯了云計算適當配置和合規(guī)性的重要性。

Gartner公司建議企業(yè)通過對云安全狀態(tài)管理（CSPM）進行投資來應對風險，云安全狀態(tài)管理（CSPM）是云訪問安全代理軟件（CASB）的一種擴展，旨在為軟件即服務（SaaS）實施安全性、合規(guī)性和治理策略。

Taylor表示，Land O’Lakes公司正在使用云訪問安全代理軟件（CASB）和云安全狀態(tài)管理（CSPM）軟件來了解向誰提供了數(shù)千個帳戶，每個用戶擁有哪些權限，以及與誰共享哪些數(shù)據(jù)，以及該公司的Microsoft Office 365和Azure云軟件的其他特征。該軟件是McAfee公司的MVISION Cloud，可以識別錯誤，例如端口和數(shù)據(jù)庫中的配置錯誤和未加密的技術服務，以及不符合州和聯(lián)邦隱私法規(guī)定的系統(tǒng)。它還會自動提醒安全人員注意異常情況，例如可疑的訪問。

對于擔心根據(jù)各州隱私法律（例如《加州消費者隱私法案》和《通用數(shù)據(jù)隱私條例》）保護個人信息的企業(yè)而言，此類保護特性至關重要。Taylor說：“在沒有采用云安全工具之前，我們對安全態(tài)勢沒有很好的認識?！?/p>

云中的“側(cè)窗”

McAfee公司云計算高級副總裁Rajiv Gupta指出，保護云計算環(huán)境具有挑戰(zhàn)性，因為與內(nèi)部部署技術不同，企業(yè)圍繞內(nèi)部部署技術設施設置防火墻和其他外圍保護，由于云計算的多租戶架構，來自多個客戶的數(shù)據(jù)通常駐留在同一臺計算機上，而每個客戶可以利用不同的資源。

Gupta指出，云計算環(huán)境以指數(shù)方式擴大了網(wǎng)絡犯罪者可以找到漏洞以泄露數(shù)據(jù)的范圍?？梢钥隙ǖ氖?，這些漏洞也出現(xiàn)在內(nèi)部部署基礎設施中，但其中仍然有許多錯誤配置。他說，“采用云計算服務，原有的安全措施消失了?！?/p>

此外，隨著時間的推移，開發(fā)人員在啟動新服務器、打開新端口，并獲得更高特權時會無意中創(chuàng)建漏洞。Gupta說，這種“配置偏差”削弱了安全態(tài)勢。當開發(fā)人員使用API 將諸如商業(yè)智能工具之類的第三方應用程序連接到其云計算服務時，事情變得更加復雜。在很多企業(yè)不知情的情況下，第三方服務會復制所有數(shù)據(jù)。很多企業(yè)在數(shù)據(jù)泄露之前，都沒有意識到自己創(chuàng)建了這個“側(cè)窗”。

Gupta說：“問題變得更加復雜，因為云原生組件之間存在復雜性和側(cè)窗。”

首席信息官對云安全的看法

Capital One公司的數(shù)據(jù)泄露事件為人們敲響了警鐘，很多首席信息官認同這一觀點。

新澤西運輸公司首席信息官Lookman Fazal認為，與任何新興技術一樣，云計算技術為首席信息官提供了風險回報方案。

在考慮將業(yè)務遷移到云平臺時，F(xiàn)azal對是否可以在自己的數(shù)據(jù)中心中復制AWS的99.9%正常運行時間以匹配其事件安全響應率進行了探討，但其答案是否定的。Fazal說，“AWS云平臺的正常運行時間和安全性關鍵績效指標（KPI）更好?！?/p>

此外，與發(fā)生停機時將故障轉(zhuǎn)移到內(nèi)部部署數(shù)據(jù)中心的成本相比，AWS云平臺提供了NJ Transit公司的災難恢復服務，其遷移到云平臺的成本也要低得多，這使NJ Transit公司可以在內(nèi)部部署數(shù)據(jù)中心運行計算資源的成本減少200萬美元。

84 Lumber公司首席信息官Paul Yater說，企業(yè)選擇合適的云計算供應商也很關鍵。作為客戶，IT領導者有責任確保正確的檢查點和審核協(xié)議已經(jīng)到位。

Yater在談到云計算供應商時說：“企業(yè)不能認為他們做的一切正確。而是需要將云計算供應商視為其IT組織的擴展，以便讓他們對相同級別的安全負責?！?/p>

保護云計算服務的技巧

IT領導者提供了一些與云計算供應商合作以確保安全性的技巧。

Land O‘Lakes公司Taylor表示，云平臺安全至關重要。在開發(fā)人員啟動云計算服務之前，客戶必須首先執(zhí)行政策和程序。IT領導者必須修復云計算環(huán)境的任何漏洞，確保數(shù)據(jù)不會泄露，并建立一個健全的DevSecOps模型。

Yater指出，云計算供應商需要獲利，而企業(yè)要求云計算供應商演示PEN（滲透）測試，并跟蹤和查詢其防火墻、傳感器和其他監(jiān)視網(wǎng)絡連接之間流量的工具。另外，確保他們具有正確的數(shù)據(jù)保留策略來保護企業(yè)業(yè)務正常運營。

Gupta表示，每個人都有責任。安全性應該在“分擔責任”模型的背景下實現(xiàn)。在該模型中，企業(yè)和云計算供應商將盡自己的職責來保護自己和用戶的數(shù)據(jù)。Gupta說，：“人們需要理解維護模型責任的意義。”