信息化觀察網

云正在誘使我們自滿于安全嗎?換句話說，對云服務的依賴是否會導致我們比以前更不安全?自事件爆發(fā)以來，最近的CapitalOne違規(guī)行為在不到一天的時間里就成了很多頭條新聞。不幸的是，就在和解消息公布幾天后，該公司已將史上規(guī)模最大的數(shù)據泄露事件——Equifax——達成的7億美元和解協(xié)議擱置一旁。

但回到CapitalOne，肯定會有很多經驗教訓。我想把重點放在CapitalOne的數(shù)據中心在哪里，以及從安全角度來看這對地球其他地方意味著什么。CapitalOne一直是AWS最直言不諱的客戶之一。他們出現(xiàn)在眾多AWS活動中，并吹捧他們如何完全關閉所有數(shù)據中心并專門在亞馬遜上運行。公平地說，他們還分享了他們的最佳實踐和AWS服務的使用。然后發(fā)生這種情況。

因此，問題是:如果AWS最精明的客戶之一可能遭受如此大規(guī)模、令人尷尬的數(shù)據泄露，那么所有AWS(和非AWS)客戶都應該感到擔憂……采取積極的措施來解決云安全意味著什么。換句話說，對云的依賴是否會讓我們對安全感到自滿?

1. 從架子和堆棧上旋轉起來的心血來潮

每個大中型企業(yè)都有一個或多個專用數(shù)據中心并設置新服務器或機架的時代，涉及到布線、電源、冷卻以及廣泛的網絡和安全重新配置。這可能需要數(shù)周的時間。這段時間可以問一些基本的和復雜的安全問題。今天，計算、存儲、無服務器……一切都是隨需應變的。云爆發(fā)和數(shù)據存儲既便宜又快捷。一切都被加速了很多次。因此，除非流程藍圖中包含安全性，或者云提供商將其作為默認設置提供(例如，AWS默認情況下在報告了許多不安全數(shù)據存儲事件之后加密S3存儲桶)，否則它很容易在噪音中丟失。

2. 共享責任模型非常具有描述性，只是它可能被放到遙遠的記憶中

當AWS提出共享責任模型時，由于清楚地解釋了他們所負責的內容——“云的安全性”和客戶所負責的“云中的安全性”，它獲得了極大的贊譽。但是AWS發(fā)布特性的速度如此之快，很容易讓人想起那些朗朗上口的名字——Greengrass、Lambda、Control Tower——并深入研究它們，卻不記得“云”和“云責任”的區(qū)別。事實可能證明，這種疏忽會非常昂貴。

3.沒有哪兩種云是相同的，做多云需要額外的努力和關注

雖然多云有很多優(yōu)勢——更好的價格、冗余、前沿特性的推出等等，但它也給使用多云的團隊帶來了負擔。投資跟上最新最好的，然后知道如何使用它。但從安全的角度來看，挑戰(zhàn)要大得多。為什么？因為盡管共享責任模型本質上應該適用于所有云——AWS、Azure、谷歌等等——但實施和風險歸因可能會有很大差異。

例如，基礎設施管理員是否有能力竊取虛擬機?；蛘?，如果數(shù)據存儲是加密的，那么只有最終客戶擁有主密鑰，還是云提供商也持有該密鑰?通常在不同的云之間答案是非常不同的。因此，共享責任模型也是特定于云的。

這是與云安全相關的三個挑戰(zhàn)，從安全和隱私的角度來看，這段旅程并不那么明顯。那么，企業(yè)是做什么的呢?放慢或停止云應用。答案是顯而易見的。

相反，要定期問自己以下問題:

1、我最近是否為我的企業(yè)確定了所有主要公共云上的所有已批準和未批準的云工作負載(有一些工具可以進行這種發(fā)現(xiàn))?

2、提醒您自己和您的團隊“共享責任模型”，對于所有云工作負載，請詢問“在云中”安全性意味著什么。對于云連接物聯(lián)網傳感器和無服務器計算引擎來說，答案可能會大不相同。

3、最后，在您的組織中開發(fā)專家，或者聘請一個可信的第三方，對您從安全和隱私角度處理特性的多云差異進行持續(xù)的培訓。又貴又費時?是的。重要嗎?絕對的。

在接下來的幾周和幾個月中，我們將了解有關CapitalOne違規(guī)行為的更多信息。但是要借用他們的營銷標語，不斷問自己這個問題“你的云中有什么”？