本文來自千家網(wǎng)。
雖然自早期采用云技術(shù)以來,云安全確實取得了長足的進步,但事實是,當今大多數(shù)組織在真正成熟其云安全實踐之前還有很長的路要走。這給組織帶來了巨大的安全事故損失。研究表明,去年組織遭受的近一半數(shù)據(jù)泄露源自云端。該研究還發(fā)現(xiàn),去年,平均每個組織因云端數(shù)據(jù)泄露損失近410萬美元。
1.僅僅使用云端并不會提高安全性
人們對云計算存在一個根本性的誤解,認為云計算本身就具有更高的安全性,以為只要使用云計算,就能更加安全。問題在于,雖然超大規(guī)模云提供商可能非常擅長保護基礎(chǔ)設(shè)施,但他們對客戶安全態(tài)勢的控制和責任非常有限。
很多人認為他們把安全外包給了云提供商,就等于轉(zhuǎn)移了風險。在網(wǎng)絡(luò)安全方面,我們永遠無法轉(zhuǎn)移風險。如果你是數(shù)據(jù)的保管人,那么無論誰為你保管數(shù)據(jù),你永遠都是數(shù)據(jù)的保管人。
2.在混合世界中,本機安全控制難以管理
雖然許多供應(yīng)商在為客戶提供對其工作負載、身份和可見性的更多控制方面做得很好,但質(zhì)量并不一致。有些供應(yīng)商做得好,有些則不好。所有這些供應(yīng)商的真正問題是,除了單個供應(yīng)商環(huán)境的隔離之外,它們在現(xiàn)實世界中很難管理。
這需要很多人來做,而且每個云平臺的人員都不一樣。解決這個問題的唯一方法是擁有一個可以跨所有多個云平臺進行管理的安全控制。這是推動將零信任轉(zhuǎn)移到云端的討論的重要因素之一。無論將數(shù)據(jù)或資產(chǎn)放在哪里,零信任都能發(fā)揮作用,它可能在云端,也可能在本地,甚至可能在終端上。
3.身份管理無法拯救云
由于過于重視云身份管理,而對零信任中的身份組件給予了過多的關(guān)注,因此組織必須了解,身份只是云中零信任的一部分。
零信任的敘述很大程度上是關(guān)于身份、身份、身份的。身份很重要,但我們在零信任的政策中使用身份。這不是萬能的。它不能解決所有問題。
在零信任模型中,憑證不會自動授予用戶訪問給定云或網(wǎng)絡(luò)內(nèi)任何內(nèi)容的權(quán)限。該策略精確限制了授予特定資產(chǎn)訪問權(quán)限的內(nèi)容和時間。通過策略定義零信任訪問的核心是將事物劃分為“保護面”,因為訪問每個保護面的不同類型用戶的風險級別將定義將附加到任何給定憑證的策略。
4.太多組織不知道自己在保護什么
當組織決定如何在云中劃分保護面時,他們首先需要明確定義他們試圖保護的是什么。這一點至關(guān)重要,因為每項資產(chǎn)、系統(tǒng)或流程都有其獨特的風險,這將決定訪問策略和強化措施。
事實上,當今大多數(shù)組織甚至不一定清楚云中有什么或什么連接到云,更不用說需要保護什么了。例如,研究表明,只有23%的組織對云環(huán)境有完全的了解。
人們沒有考慮他們實際上想要完成什么,他們想要保護什么。這是一個根本性問題,導致組織在沒有在此過程中適當設(shè)置保護措施的情況下浪費了大量安全資金。
5.云原生開發(fā)激勵機制失衡
云平臺和工具提供的速度、可擴展性和靈活性極大地增強了DevOps實踐和云原生開發(fā)。當安全性適當?shù)厝谌肫渲袝r,就會產(chǎn)生好的結(jié)果。大多數(shù)開發(fā)組織沒有得到適當?shù)募顏韺崿F(xiàn)這一點,這意味著云基礎(chǔ)設(shè)施和所有基于它的應(yīng)用在此過程中都面臨風險。
這說明了在向云及其他領(lǐng)域轉(zhuǎn)向零信任方面也存在問題。太多組織根本沒有正確的激勵機制來實現(xiàn)這一目標,事實上,許多組織都有不正當?shù)募顧C制,最終鼓勵了不安全的做法。