介绍
最近涉及无担保AWS储存的违约成为上个月的公众知识。第一个,视频编辑应用程序VEED.IO,留下了通过其存储桶URL直接访问它们的任何用户的数以千计的用户视频。第二个涉及一家名为Inslialvitalus的公司,暴露了超过700,000个出生证明副本,包含用户出生日期等信息。涉及云存储桶中错误配置权限的违规是新的;什么是新的是对这些违约的覆盖范围的转变,远离他们是“云数据违规”。在这两种情况下,它在媒体覆盖范围内陈述了云用户的公司负责权限事故的公司。
在大多数情况下,这完全适合。默认情况下,新创建的S3存储桶是私有的;必须提供访问。AWS Identity和Access Management(IAM)策略允许用户级别的权限;桶策略和ACL也管理访问权限。从AWS可信顾问的免费权限检查可用,并且有一个显式的“公共”标签,可以公开访问的存储桶以及S3存储桶的单独公共访问设置,允许用户为其设置默认访问设置帐户。要更简洁地提出它,云提供商已经采取了许多步骤来保护用户免受自己的配置意见,并且安全/技术贸易媒体已经注意到谁处于故障的覆盖范围。
在对云风险的理解上,在企业层面也发生了类似的转变,这是451 Research过去四年的企业之声:信息安全研究的结果。www.yabo11vip.com越来越多的企业在复杂、关键任务和高风险的应用中使用云服务,从目前的yabo07趋势来看,这一趋势将持续下去。
451拿走
云中心周围的安全问题担心数据丢失和缺乏控制,但对云安全的看法正在转移,这使得安全管理人员如何保护云的答案变得更加复杂,更依赖于安全监控。因此,更少的企业称云对高风险应用程序“过于危险”。这并不令人惊讶 - 云计算的增长需要企业安全管理人员加速,但它不止于此。合作伙伴网络,市场产品,内置于云产品中的控制和护栏以及云基础设施安全产品的供应商生态系统随着时间的推移。根据451研究的最终用户学习的一部分,企业毫无疑问仍然是如何使这一切的所有作品都能实现这一切,但“你将如何保护你的云?”www.yabo11vip.com比几年前是明显的更复杂。
共同责任
安全性通常被引用为云采用的抑制剂。在451研究的早期定量研究中,对安全管理人员如何保护其企业云基础设施的问题的回应通常是www.yabo11vip.com“无论云供应商提供的内容。此后,这两个响应的问题在于它从根本上误解了托管云中资源时存在的共同责任的性质。
“人们把(云安全)视为不同的野兽,但它真的不是。它只是别处的一个服务器。这是对缺乏控制的理解。如果以Amazon为例,我想说的是,大多数人并不理解Amazon的共享安全模型....亚马逊有一个庞大的文件来解释它,但问题是:每个人都读了吗?还是他们只是做了假设?”
- IT/工程经理和员工,10000 - 49999名员工,100亿美元收入,房地产
这并不是因为主要的云提供商缺乏对消费者进行教育的尝试——例如,微软和AWS都发布了共享责任模型。对微软来说,这是一个三层模型,指出用户负责信息和数据、设备、账户和身份,而微软负责物理主机、网络和数据中心。其他部分,如网络控制、操作系统或应用程序,处于客户和云提供商之间的中间状态,这取决于所提供的服务。AWS将责任集的区别描述为“云安全”和“云安全”,前者依赖于云服务,后者依赖于客户的决策。安全团队在451年研究预测,这个共同责任模www.yabo11vip.com型需要一个学习曲线的早期讨论一个简化的概念叫做“控制台安全”——或者是用户,而不是云提供商,负责安全的从控制台。
“我们没有使用[Azure]我们想要使用的程度。我们一直在努力,确保所有安全参数都有谨慎,并且有足够的护栏到位,这是一个漫长的过程。所以我们还有一些应用程序,我们正在研究一些将在下季度和明年居住的大型举措。“
- 高级管理人员,100,000多名员工,10亿美元+收入,消费者零售产品和服务yabo07
“人们把(云安全)视为不同的野兽,但它真的不是。它只是别处的一个服务器。这是对缺乏控制的理解。如果以Amazon为例,我想说的是,大多数人并不理解Amazon的共享安全模型....亚马逊有一个庞大的文件来解释它,但问题是:每个人都读了吗?还是他们只是做了假设?”
- IT/工程经理和员工,10000 - 49999名员工,100亿美元收入,房地产
这并不是因为主要的云提供商缺乏对消费者进行教育的尝试——例如,微软和AWS都发布了共享责任模型。对微软来说,这是一个三层模型,指出用户负责信息和数据、设备、账户和身份,而微软负责物理主机、网络和数据中心。其他部分,如网络控制、操作系统或应用程序,处于客户和云提供商之间的中间状态,这取决于所提供的服务。AWS将责任集的区别描述为“云安全”和“云安全”,前者依赖于云服务,后者依赖于客户的决策。安全团队在451年研究预测,这个共同责任模www.yabo11vip.com型需要一个学习曲线的早期讨论一个简化的概念叫做“控制台安全”——或者是用户,而不是云提供商,负责安全的从控制台。
“我们没有使用[Azure]我们想要使用的程度。我们一直在努力,确保所有安全参数都有谨慎,并且有足够的护栏到位,这是一个漫长的过程。所以我们还有一些应用程序,我们正在研究一些将在下季度和明年居住的大型举措。“
- 高级管理人员,100,000多名员工,10亿美元+收入,消费者零售产品和服务yabo07
转移对云风险的看法
在我们从2015年开始的“企业之声:信息安全调查”中,每年都会问以下问题:您如何最好地描述您的组织对于托管云计算平台(托管私有云、IaaS或PaaS)的使用政策?这背后的想法是决定任何潜在的转变,每年,在感知安全经理对他们的企业的云计算计划。
图1:作为云采用的抑制剂侵蚀安全性
资料来源:《企业信息安全之声,预算与展望2019》
虽然趋势很少以直线移动,但特别是在基于调查的研究中,试图衡量风险态度时,已经出现了几个趋势。首先通过其他来源确认 - 不使用任何形式的云计算基础设施的组织百分比减少,从2015年从18%移至2019年的14%。第二个趋势是图表中突出显示的趋势。2015年,27%的训练轮子从他们的云基础设施中取消了训练轮,考虑到托管任何应用,独立于组织的风险简介或重要性。四年后,2019年,该百分比增加到35%。虽然云支持者可能希望更加戏剧性的三角洲,但在采用新技术的情况下,安全团队往往有点保守,并且出现明显的趋势线。
企业规模并不像一些人认为的那样是对云风险态度的预测;事实上,组织规模越大,对这个问题的做法就越保守。在员工超过10,000人的组织中,48%的组织将托管云限制为低风险的应用程序,而35%的组织说云可以用于任何事情。在这个规模的组织中,只有9%没有针对公共云的政策,所以更大的公司更有可能考虑公共云。相比之下,员工人数在250-999人之间的组织中有30%限制云的使用,员工人数少于250人的组织中有24%限制云的使用。
对云风险态度的最强烈预测因素是一个组织技术采用的方法。将组织分类为“早期采用者”的百分之六十六个(66%)没有限制云使用。38%(38%)那些“务实”,但将迟早会采取行动,而不是以后的行为,无论申请的风险概况都将使用云。这与那些将组织作为“保守派”等级的人数相比,与那些考虑其组织对新技术的持怀疑态度“的人相似的20%。如果早期采用者被视为领导物,这进一步指示了安全性正在侵蚀作为云部署的抑制剂。
企业规模并不像一些人认为的那样是对云风险态度的预测;事实上,组织规模越大,对这个问题的做法就越保守。在员工超过10,000人的组织中,48%的组织将托管云限制为低风险的应用程序,而35%的组织说云可以用于任何事情。在这个规模的组织中,只有9%没有针对公共云的政策,所以更大的公司更有可能考虑公共云。相比之下,员工人数在250-999人之间的组织中有30%限制云的使用,员工人数少于250人的组织中有24%限制云的使用。
对云风险态度的最强烈预测因素是一个组织技术采用的方法。将组织分类为“早期采用者”的百分之六十六个(66%)没有限制云使用。38%(38%)那些“务实”,但将迟早会采取行动,而不是以后的行为,无论申请的风险概况都将使用云。这与那些将组织作为“保守派”等级的人数相比,与那些考虑其组织对新技术的持怀疑态度“的人相似的20%。如果早期采用者被视为领导物,这进一步指示了安全性正在侵蚀作为云部署的抑制剂。
丹尼尔肯尼迪
企业之声:信息安全研究总监
丹尼尔·肯尼迪负责管理研究过程的所有阶段。他是一名经验丰富的信息安全专家,曾为《福布斯》网站和Ziff Davis撰稿,曾为《纽约时报》和《华尔街日报》等多家新闻媒体撰稿,他的个人博客“禁卫军长官”被RSA 2010年会议评为信息安全领域的五大技术博客之一。
Jeremy Korn.
研究助理
杰里米·科恩(Jeremy Korn)是451研究所的研究员。www.yabo11vip.com他毕业于布朗大学,获得生物和东亚研究学士学位
亚伦谢里尔
高级分析师
Aaron Sherrill是451项研究的高级分析师,涵盖了新兴趋势,创新www.yabo11vip.com