云安全：威脅仍存在

文 | 本刊記者 姜紅德

云安全：威脅仍存在

文 | 本刊記者 姜紅德

云計算具有隨時共享、按需定制、性能高等特點，除了給企業帶來效率上的提升，同時也引入了新的安全威脅，有可能使企業得不償失。最近一系列調查報告都顯示，云服務的某些特性使得安全漏洞仍廣泛存在，新的安全控制策略必須得到重視。

2016：云仍存在重要威脅

信息技術研究和顧問公司Gartner最近表示，公有云如今具備可擴展性、計算威力、海量存儲和安全性，可打造更好的政府數字化平臺并滿足對業績和價值不斷增長的期望值。Gartner預計到2018年，提升的安全性將取代成本節約和敏捷性成為政府部門在其權限內采用公有云的首要動力。Gartner研究總監Neville Cannon表示：“諸如亞馬遜云服務（AWS）、微軟和谷歌等眾多云服務廠商都注入巨額投資將高級別安全性融入各自的產品中，以確保它們的數據更加安全。許多此類廠商都有能力投入巨額資金，這些資金遠超大多數國家可以承擔的費用，更勿論一般政府部門了。”

然而，Cannon指出困難依然存在，由于政府部門深信在其管轄內的數據才更安全，因此成本節約和靈活性僅列為次要考慮因素。隨著云服務日益普及，加之基于對相關風險的分析、廠商能力以及所選擇的數據保護技術，公共部門的首席信息官應該尋求采用公有云來保存公共的和中低級別的敏感數據。

云計算是不是真的安全，一些調查機構得出了一些不同的結果。云安全聯盟（CSA）最近的調查報告就顯示，云計算安全仍是2016年最重要的威脅之一。這份報告羅列出了數據泄露、身份被盜、系統漏洞被利用、帳戶劫持、APT攻擊、內部惡意泄密、數據永久刪除等12種云計算威脅。以數據永久刪除為例，隨著云服務的成熟，由于提供商失誤導致的永久數據丟失已經極少見了。但惡意黑客已經會用永久刪除云端數據來危害企業了，而且云數據中心跟其他任何設施一樣對自然災害無能為力。上述機構人士認為，預防數據丟失的責任并非全部壓在云服務提供商肩頭。如果客戶在上傳到云端之間先把數據加密，那保護好密鑰的責任就落在客戶自己身上了。一旦密鑰丟失，數據丟失也就在所難免。

安永全球發布的《安永第18屆全球信息安全調查報告》結果也顯示，54%的受訪對象的信息安全職能目前不具備關注新興技術比如云計算、大數據等及其影響的角色或部門；36%的受訪對象不具備威脅智能感知系統計劃；認為信息安全職能完全符合企業需求的受訪對象比例僅占12%；而不具備安全管理平臺的受訪對象比例從2014年的42%增長為47%；另外，不具備身份及訪問管理系統的受訪對象比例從2014年的12%增長為18%。

報告顯示，由于網絡攻擊者戰術不斷改變，持續性加劇，能力增強，網絡威脅的性質也發生了變化。面臨這些威脅，安永指出，許多其之前認為是先進的舉措現在已經變得只屬基礎性。

戰略與戰術并重

幾乎所有的機構（包括政府部門、企業）都認為云安全的重要性和數據保護有很大的關系，這也是他們在最近一兩年來采購安全設備和加強安全防范措施的主要原因之一。

通過對1755家企業的CIO、CEO、CTO等和信息安全有緊密聯系的職位進行調查后顯示，數據泄密是當前新技術環境下企業面臨的主要安全問題之一。但是對企業安全防護對策的調查結果顯示，多數企業并沒有全方位的建立起防護措施。對此，安永在報告中建議，企業應繼續以超前防范網絡攻擊者為目標，建立更為先進的安全管理平臺，并使用網絡威脅智能感知系統以有效地保持運營的一致性，幫助開展主動防御，尋找潛在攻擊者、分析和評估威脅，并在威脅破壞企業的關鍵資產之前將其解除。

安永華北區信息安全服務合伙人李睿表示，“主動防御不會代替傳統安全運營，而是對其加以組織和鞏固。網絡安全不止是一個技術性問題，也不僅僅局限在IT領域。它既是每一位董事會成員應該承擔的職責，還以各種方式，通常是隱秘、不易識別的方式影響著企業的各個層面以及最高管理層的每一位成員。”

對于數據泄密這樣一個安全威脅來說，通常我們更多的需要在防護策略上做出靈活安排。一旦發生數據泄露，公司企業或許會招致罰款，又或者將面臨法律訴訟或刑事指控。數據泄露調查和客戶通知的花費也有可能是天文數字。其他非直接影響，比如品牌形象下跌和業務流失，會持續影響公司長達數年時間。云服務提供商通常都會部署安全控制措施來保護云環境，但最終，保護自身云端數據的責任，還是要落在使用云服務的公司自己身上。CSA建議公司企業采用多因子身份驗證和加密措施來防護數據泄露。

對于內部惡意泄密，這樣的防護策略還不夠，還需要在戰略意識上加以重視。在云環境下，惡意滿滿的內部人員可以破壞掉整個基礎設施，或者操作篡改數據。安全性完全依賴于云服務提供商的系統，比如加密系統，是風險最大的。CSA專家建議：公司企業自己控制加密過程和密鑰，分離職責，最小化用戶權限。管理員活動的有效日志記錄、監測和審計也是非常重要。

不過，一些拙劣的日常操作也很容易被誤解為“惡意”內部人員行為。典型的例子就是，管理員不小心把敏感客戶數據庫拷貝到了可公開訪問的服務器上。鑒于潛在的暴露風險更大，云環境下，合適的培訓和管理對于防止此類低級錯誤就顯得更為重要了。