如今几乎每家企业都在使用云服务,云迁移在过去十年逐步兴起。疫情期间远程工作的普及进一步推动了以业务为导向的云服务需求,如今多云与分布式环境成为不少企业的选择,甚至在边缘计算能力上进行扩展。
从一开始,云安全就不是单纯由云端提供商承担的责任。虽然云服务提供商会尽力提供安全保护措施,但安全漏洞事件仍时有发生。深入分析表明,许多漏洞并非来自提供商本身,而是源自最终用户对云服务的错误配置。
以下内容聚焦于用户错误配置的普遍性,以及企业在运行云计算环境时可以采取的防护措施。
云服务安全事件的概览
关于云安全事件的统计数据颇为震撼。2021年对超过250名IT专业人员的调查显示,超过一半的企业经历过与云服务相关的安全事件,而且实际数量可能被低估。
其中一些事件造成了广泛的关注和影响,例如亚洲最大的云服务提供商之一发生数据泄露,涉及对购物平台相关的十几亿条记录暴露。
在美国,若干云计算提供商也出现数据泄露案例。2021年初,某云服务商的错误配置暴露了多家提交合作提案公司的机密信息,其中甚至包含源代码。
此外,2020年底的另一起事件导致超过50万条记录泄露,其中包含高度敏感的个人信息。尽管后续事件多与提供商的错误配置相关,但总体而言,大多数漏洞来自客户在安全措施上的不足。
举例来说,近期涉及知名旅游行业的某公司错误配置了云服务,导致若干热门旅游网站的用户数据在多年的时间里对外暴露。
最广为人知的案例之一是2019年对某大型云服务用户的数据攻击,涉及超过一亿用户的个人信息暴露,原因聚焦于防火墙配置错误。
这些事件只是近年数据泄露的冰山一角,应该作为对云服务提供商和使用方的警示。企业固然需要并应当信任云服务提供商的安全措施,但仅此不足。建立全面的内部网络安全体系,企业必须对云环境进行正确的配置。
避免云服务的错误配置
防止错误配置需要在云服务使用的各个阶段进行协同努力,从合同签署到持续维护与更新。企业应采取如下步骤,以尽量降低云服务被错误配置的风险。
明确职责分工
云服务配置中的职责划分往往影响安全成败。IaaS与SaaS的安全责任分担存在差异,理解并清楚各自的责任范围至关重要。
- IaaS提供商(如AWS、Google Cloud、Azure、阿里云等)通常采用共同责任模型。支付卡行业数据安全标准(PCI-DSS)强调云提供商与客户在云环境中实现合规与保护金融数据方面的共同职责。
- IaaS客户需要全面了解自身在配置与安全中的责任,并使相关IT与网络安全人员熟悉服务协议与提供商提供的工具与支持。
- SaaS提供商(如Salesforce、Workday、Square)通常承担更多安全责任,但企业仍需审查相关服务许可协议,以确保满足必要的安全要求。
了解常见的配置与安全问题
在与提供商达成协议前,企业应熟悉常见的安全挑战。云服务提供商通常提供大量文档,很多内容对公众开放,了解配置云服务的复杂性与潜在陷阱至关重要。
除了官方文档外,企业还可通过公开的技术支持论坛获取关于特定云服务的问题与解决方案的讨论与经验。
建立配置模板
业界有一句格言:“如果没有坏的,就不要修复它”,这也适用于云配置。为现有云服务创建安全且有效的配置模板后,可以将其作为其他服务的起点。
需要注意的是,模板并非一成不变的适用于所有场景。每项新服务都应在起始阶段就给予重点关注,但从安全角度出发,合成一套经过验证的安全起点可以帮助简化后续配置。
从内部部署过渡到云服务时,模板的使用也需谨慎。尽管存在相似之处,但不同的运行环境意味着需要对模板进行适配。业内有观点认为云托管正在逐渐取代传统的虚拟主机/服务器,但核心在于合理的模板设计与应用。
测试与更新
一旦确认了看起来安全的配置,需尽可能频繁且严格地进行测试,自动化测试尤为理想,因为它能够揭示过去未曾发现的问题。
同时,企业需持续更新配置以反映云服务的使用变化。过时的配置就像旧软件一样,给攻击者提供可乘之机。
结语
随着云计算应用的持续增长,企业将获得更高的效率与更多的功能,帮助业务更好地运营。通过持续关注与努力,企业可以确保云服务的使用对自身和客户都保持安全。
