第七届年度全球信息安全调查:公司争着要在云服务。但是从安全的角度来看,最大的问题是,很少有人知道他们正在处理。(一个四部分系列的第二)
虚拟化和云计算让您简化物理IT基础架构,降低管理成本,但你才刚刚开始看到安全隐患参与。
将更多的基础架构放入云中留下了易受攻击的黑客,他努力推出拒绝服务攻击的否定攻击谷歌,雅虎和其他基于互联网的服务提供商。一种大规模停电谷歌今年早些时候说明了云依赖企业可能受到影响的那种中断。
这是来自第七届全球信息安全调查的大型外卖器之一,今年早些时候与普华永道的CIO杂志进行了CSO和CIO杂志。全球约7,200名业务和技术高管从各种行业作出回应,包括政府,医疗保健,金融服务和零售。
在,SANS parachuteGiven腾起的费用,以保持身体的IT基础设施,更换云服务的服务器机房和随意配置家电的想法简直是太辛苦了很多企业的抵制。但是,冲进没有安全策略,云是对风险的良方。据调查,43%的受访正在使用云服务,如软件即服务或基础设施即服务。更是投资于虚拟化技术,可帮助实现云计算。受访者百分之六十七说,他们现在使用的服务器,存储和其他形式的IT资产的虚拟化。其中,48%真的相信他们的信息的安全性有所改善,而42%的人说他们的安全是在大约相同的水平。只有10%的人认为虚拟化创造了更多的安全漏洞。
安全可能很好地改善了一些,但思科系统云和虚拟化解决方案总监等专家认为,消费者和提供商都需要确保他们了解与技术,操作和组织改变相关的风险,这些技术带来熊。
“当你看看人们是怎么想的虚拟化意味着什么,虚拟化的定义是要么非常狭窄 - 这是关于服务器整合,虚拟化应用程序和操作系统,并整合一切下降到较少的物理盒子 - 或它的任何数量的其他元素组成:客户端台式机,存储,网络,安全,”他说。“那你让人困惑的云计算,正在由微软推动的概念,许多较小的新兴公司。你留下摸不着头脑想知道这意味着什么,你作为一个公司,它是如何影响您的基础设施?”
跳跃的迹象,有一些证据表明公司谨慎行事。
根据Cio Rich Gius的说法,一个例子是使用Salesforce.com加速其响应时间并帮助营销部门管理营销部门管理漫游的客户池。迄今为止,努力是成功的,因此Gius正在调查云中运行公司电子邮件的可行性。“它将有助于我们解决了越来越多的挑战,其中支持的电子邮件的移动设备在劳动力中广泛扩散,”他说。但他还没有准备好采取这么大的一步,因为包括安全性,包括安全性,仍然难以放下。云依赖公司可以在5月份出现的中断的一个例子,当时搜索巨头GoogleWhe内容占所有互联网的5%的人交通占据了大规模的中断。当它下降时,许多公司已经依赖于基于云的业务应用程序(例如电子邮件)在水中死了。
中断不是由黑客造成的,但有迹象表明网络犯罪分子正在探索用于剥削云的方法以争取恶意目的。在中断的高跟鞋上,攻击者通过恶意链接淹没谷歌搜索结果,促使美国电脑紧急响应团队(美国证书)对基于云的服务网站的潜在危险发出警告来增加伤害。
美国证书说,该攻击通过利用Adobe软件中的已知漏洞毒害了数千个合法的网站,以在受害者机器上安装恶意计划。然后,该程序将从受害者中窃取FTP登录凭据,并使用信息进一步扩展。它还劫持了受害者的浏览器,用攻击者选择的链接替换谷歌搜索结果。虽然受害者没有特别是那些提供基于云的服务,但可以针对云服务提供商的类似方案。
通过配置基于物理和云的IT资产,IT组织通常会使攻击者的工作更容易,这么糟糕地留下了易于找到的和漏洞漏洞。询问了虚拟化环境中的潜在漏洞,引用了36%的错误配置和实施差,51%引用了缺乏充分培训的IT人员(其缺乏知识导致配置毛刺而导致配置毛刺)。事实上,22%的受访者引用了培训不足,以及审计不足(揭露漏洞)对其公司的云计算策略的最大安全风险。
正是这种意识,使Atmos的能源的Gius谨慎行事。“我们没有CSO。如果我们是一家金融服务公司可能是一个不同的故事,或者,如果我们有一个巨大的头数,” Gius说。“但我们是一个小到中等规模的公司,工作人员限制使得这些类型的实现变得更加困难。”
即使有了正确的资源,云中的安全性也是在多个平台上管理各种风险的问题。没有一个云。相反,“有很多云,他们没有联合,他们没有在应用层本地互操作,它们在他们的平台和操作中都是所有专有的,”霍夫说。“我们都在跑出的概念将我们的内容和应用程序在别人的基础设施上的一些常见的[和安全]存储库中是不现实的。”
马克Lobel,在普华永道安全实践的合伙人说,完美的安全性是不可能的。“你必须积极着眼于安全控制,而你是跳跃到这些服务,”他说。这是企业难以回头,一旦他们有让他们的数据和应用程序松动,因为他们往往很快就摆脱他们需要把服务返回的内部硬件和技能本身。
“如果你俯冲下来一个良好,无一根绳子,你会发现你想要的水,但你不会得到井出不绳子,”他说。“如果你有一个缺口,你需要离开云?你能不能出去,如果你有什么打算?”
这个故事,“云安全的诅咒”最初发表CSO 。