Capital One公司遭遇的數(shù)據(jù)泄露事件凸顯了IT領(lǐng)導(dǎo)者迫切需要對配置錯誤進行補救。專家指出，這就是云安全狀態(tài)管理技術(shù)和其他安全工具發(fā)揮作用的地方。

安全漏洞問題已經(jīng)讓越來越多的組織對新興安全軟件很感興趣。例如，云安全狀態(tài)管理（CSPM）技術(shù)可以對云計算環(huán)境進行搜索，并向企業(yè)員工發(fā)出有關(guān)配置問題和合規(guī)風(fēng)險的警報，其中大部分問題是人為錯誤。

2019年，金融服務(wù)提供商Capital One公司發(fā)生了一起數(shù)據(jù)泄露重大事件，當(dāng)時一名AWS公司的員工啟用了一個配置錯誤的Web應(yīng)用防火墻（WAF），Capital One公司將其作為在AWS云平臺中托管的一部分，使其大量客戶數(shù)據(jù)泄露。2018年，沃爾瑪公司和GoDaddy公司使用的AWS存儲實例之后大量數(shù)據(jù)對外泄露，因為其他人可以通過AWS存儲實例在全球互聯(lián)網(wǎng)上訪問這些數(shù)據(jù)。

云平臺中的配置錯誤

調(diào)研機構(gòu)Gartner公司分析師Neil MacDonald表示，大多數(shù)企業(yè)的首席信息官在調(diào)查中表示，他們的數(shù)據(jù)存放在云計算供應(yīng)商的云平臺那里更安全，但是由于人為錯誤和網(wǎng)絡(luò)攻擊，使很多企業(yè)的數(shù)據(jù)對外泄露。Gartner公司的調(diào)查表明，實際上，到2025年，99%的云安全故障都是客戶自身的過錯。

MacDonald說：“他們最擔(dān)心的問題是，內(nèi)部員工所犯的一些錯誤會讓他們的數(shù)據(jù)泄露。”

Land O‘Lakes公司首席安全官 Tony Taylor表示，例如，迫于DevOps截止日期，很多企業(yè)的開發(fā)人員匆忙啟動新的虛擬機，而在無意間將其網(wǎng)絡(luò)暴露在外。

常見的配置錯誤暴露了云存儲文件夾和數(shù)據(jù)傳輸協(xié)議，這些文件夾和數(shù)據(jù)傳輸協(xié)議可以通過全球互聯(lián)網(wǎng)訪問，并且用戶帳戶具有過多的訪問權(quán)限。此前，工作人員通過人工檢查或者編寫自動腳本進行檢測，從而發(fā)現(xiàn)此類漏洞。

檢查云計算安全狀態(tài)

MacDonald表示，由于云平臺具有高度自動化和用戶自助服務(wù)（例如，基礎(chǔ)設(shè)施即服務(wù)和平臺即服務(wù)），凸顯了云計算適當(dāng)配置和合規(guī)性的重要性。

Gartner公司建議企業(yè)通過對云安全狀態(tài)管理（CSPM）進行投資來應(yīng)對風(fēng)險，云安全狀態(tài)管理（CSPM）是云訪問安全代理軟件（CASB）的一種擴展，旨在為軟件即服務(wù)（SaaS）實施安全性、合規(guī)性和治理策略。

Taylor表示，Land O’Lakes公司正在使用云訪問安全代理軟件（CASB）和云安全狀態(tài)管理（CSPM）軟件來了解向誰提供了數(shù)千個帳戶，每個用戶擁有哪些權(quán)限，以及與誰共享哪些數(shù)據(jù)，以及該公司的Microsoft Office 365和Azure云軟件的其他特征。該軟件是McAfee公司的MVISION Cloud，可以識別錯誤，例如端口和數(shù)據(jù)庫中的配置錯誤和未加密的技術(shù)服務(wù)，以及不符合州和聯(lián)邦隱私法規(guī)定的系統(tǒng)。它還會自動提醒安全人員注意異常情況，例如可疑的訪問。

對于擔(dān)心根據(jù)各州隱私法律（例如《加州消費者隱私法案》和《通用數(shù)據(jù)隱私條例》）保護個人信息的企業(yè)而言，此類保護特性至關(guān)重要。Taylor說：“在沒有采用云安全工具之前，我們對安全態(tài)勢沒有很好的認識。”

云中的“側(cè)窗”

McAfee公司云計算高級副總裁Rajiv Gupta指出，保護云計算環(huán)境具有挑戰(zhàn)性，因為與內(nèi)部部署技術(shù)不同，企業(yè)圍繞內(nèi)部部署技術(shù)設(shè)施設(shè)置防火墻和其他外圍保護，由于云計算的多租戶架構(gòu)，來自多個客戶的數(shù)據(jù)通常駐留在同一臺計算機上，而每個客戶可以利用不同的資源。

Gupta指出，云計算環(huán)境以指數(shù)方式擴大了網(wǎng)絡(luò)犯罪者可以找到漏洞以泄露數(shù)據(jù)的范圍。可以肯定的是，這些漏洞也出現(xiàn)在內(nèi)部部署基礎(chǔ)設(shè)施中，但其中仍然有許多錯誤配置。他說，“采用云計算服務(wù)，原有的安全措施消失了。”

此外，隨著時間的推移，開發(fā)人員在啟動新服務(wù)器、打開新端口，并獲得更高特權(quán)時會無意中創(chuàng)建漏洞。Gupta說，這種“配置偏差”削弱了安全態(tài)勢。當(dāng)開發(fā)人員使用API 將諸如商業(yè)智能工具之類的第三方應(yīng)用程序連接到其云計算服務(wù)時，事情變得更加復(fù)雜。在很多企業(yè)不知情的情況下，第三方服務(wù)會復(fù)制所有數(shù)據(jù)。很多企業(yè)在數(shù)據(jù)泄露之前，都沒有意識到自己創(chuàng)建了這個“側(cè)窗”。

Gupta說：“問題變得更加復(fù)雜，因為云原生組件之間存在復(fù)雜性和側(cè)窗。”

首席信息官對云安全的看法

Capital One公司的數(shù)據(jù)泄露事件為人們敲響了警鐘，很多首席信息官認同這一觀點。

新澤西運輸公司首席信息官Lookman Fazal認為，與任何新興技術(shù)一樣，云計算技術(shù)為首席信息官提供了風(fēng)險回報方案。

在考慮將業(yè)務(wù)遷移到云平臺時，F(xiàn)azal對是否可以在自己的數(shù)據(jù)中心中復(fù)制AWS的99.9%正常運行時間以匹配其事件安全響應(yīng)率進行了探討，但其答案是否定的。Fazal說，“AWS云平臺的正常運行時間和安全性關(guān)鍵績效指標（KPI）更好。”

此外，與發(fā)生停機時將故障轉(zhuǎn)移到內(nèi)部部署數(shù)據(jù)中心的成本相比，AWS云平臺提供了NJ Transit公司的災(zāi)難恢復(fù)服務(wù)，其遷移到云平臺的成本也要低得多，這使NJ Transit公司可以在內(nèi)部部署數(shù)據(jù)中心運行計算資源的成本減少200萬美元。

84 Lumber公司首席信息官Paul Yater說，企業(yè)選擇合適的云計算供應(yīng)商也很關(guān)鍵。作為客戶，IT領(lǐng)導(dǎo)者有責(zé)任確保正確的檢查點和審核協(xié)議已經(jīng)到位。

Yater在談到云計算供應(yīng)商時說：“企業(yè)不能認為他們做的一切正確。而是需要將云計算供應(yīng)商視為其IT組織的擴展，以便讓他們對相同級別的安全負責(zé)。”

保護云計算服務(wù)的技巧

IT領(lǐng)導(dǎo)者提供了一些與云計算供應(yīng)商合作以確保安全性的技巧。

Land O‘Lakes公司Taylor表示，云平臺安全至關(guān)重要。在開發(fā)人員啟動云計算服務(wù)之前，客戶必須首先執(zhí)行政策和程序。IT領(lǐng)導(dǎo)者必須修復(fù)云計算環(huán)境的任何漏洞，確保數(shù)據(jù)不會泄露，并建立一個健全的DevSecOps模型。

Yater指出，云計算供應(yīng)商需要獲利，而企業(yè)要求云計算供應(yīng)商演示PEN（滲透）測試，并跟蹤和查詢其防火墻、傳感器和其他監(jiān)視網(wǎng)絡(luò)連接之間流量的工具。另外，確保他們具有正確的數(shù)據(jù)保留策略來保護企業(yè)業(yè)務(wù)正常運營。

Gupta表示，每個人都有責(zé)任。安全性應(yīng)該在“分擔(dān)責(zé)任”模型的背景下實現(xiàn)。在該模型中，企業(yè)和云計算供應(yīng)商將盡自己的職責(zé)來保護自己和用戶的數(shù)據(jù)。Gupta說，：“人們需要理解維護模型責(zé)任的意義。”