细数云服务的11个威胁 云安全应该交给谁?

随着云计算发展到涵盖更多的企业应用程序、数据和流程,企业可能会选择将其安全性服务外包给供应商。

一项行业调查显示,许多企业都需要注意安全问题,而不是将任务交给云提供商。云安全联盟对241名行业专家进行了调查,发现了一个“令人震惊的”云安全问题。

该调查的作者指出,今年许多安全问题都将安全责任指向了用户企业,而不是依赖于服务提供商。我们注意到,传统云服务提供商在云安全问题上的排名有所下降。诸如拒绝服务、共享技术漏洞、CSP数据丢失和系统漏洞等问题,这些在以前都是受关注颇高的安全问题,现在的排名则有所下降。这些表明CSP负责的传统安全问题似乎不那么令人担忧。相反,我们看到了更多需要解决高级管理层决策所带来的技术堆栈更高的安全问题。

这与Forbes Insights和VMware最近的另一项调查结果一致,该调查发现,部分公司正在极力避免将安全措施移交给云提供商,只有31%的领导者表示将安全措施移交给云提供商。尽管如此,94%的公司在某些安全方面采用了云服务。

CSA的最新报告强调了今年的主要安全问题:

1. 数据泄露。报告的作者指出,数据正成为网络攻击的主要目标。定义数据的业务价值及其损失的影响对于拥有或处理数据的企业非常重要。此外,他们补充称,保护数据正演变成谁有权访问数据的问题。加密技术可以帮助保护数据,但会对系统性能产生负面影响,同时降低应用程序的用户友好度。

2. 配置错误和变更控制不足。基于云的资源非常复杂和动态,使得配置具有挑战性。传统控制和变更管理方法在云中无效。公司应该采用自动化技术,并采用能够持续扫描错误配置资源并实时修复问题的技术。

3. 缺乏云安全架构和策略。确保安全架构与业务目标和目标保持一致。开发并实施安全架构框架。

4. 身份、凭据、访问和密钥管理不足。安全帐户包括双因素身份验证和有限的根帐户使用。对云用户和身份实行最严格的身份和访问控制。

5. 账户劫持。这是一个必须认真对待的威胁。深度防御和IAM控制是减少账户劫持的关键。

6. 内部威胁。采取措施尽量减少内部疏忽,有助于减轻内部威胁的后果。为您的安全团队提供培训,以便正确安装、配置和监视您的计算机系统、网络、移动设备和备份设备。CSA还敦促“定期的员工培训意识”。为你的正式员工提供培训,告诉他们如何处理安全风险,比如网络钓鱼,以及保护他们在公司外部笔记本电脑和移动设备上携带的公司数据。

7. 不安全的接口和API。保证良好的API。良好的做法包括对库存、测试、审核和异常活动保护等项目进行认真的监督。 此外,考虑使用标准和开放的API框架(例如,开放式云计算接口(OCCI)和云基础设施管理接口(CIMI))。

8. 弱控制平面。企业应该进行详尽的调查,并确定他们打算使用的云服务是否拥有足够的控制平面。

9. 元结构和应用结构故障。云服务提供商必须提供可见性和公开缓解措施,以抵消租户对云的固有缺乏透明性。所有csp都应进行渗透测试,并向客户提供结果。

10. 有限的云使用可视性。降低风险始于从上到下开发完整的云可见性工作。要求全公司范围内培训公认的云使用策略及其实施。所有未经批准的云服务都必须经过云安全架构师或第三方风险管理人员的审核和批准。

11. 滥用和恶意使用云服务。企业应该监控他们安排云方面工作的员工,因为传统机制无法减轻云服务使用带来的风险。

原文网址:https://www.zdnet.com/article/cloud-security-is-too-important-to-leave-to-cloud-providers/

Image placeholder
twohappy
未设置
  37人点赞

没有讨论,发表一下自己的看法吧

推荐文章
Fortinet的云安全观:上云≠安全 云安全市场或迎“又一春”!

近年来网络攻击事件频繁发生,企业对于网络安全的关注度已经到达前所未有的高度,如何保证业务的正常运转是每个企业最为关注的问题之一。而随着越来越多的企业将业务扩展到云端,云上安全问题也成为企业必谈的话题!

20万DBA最关注的11个问题

问答集萃接下来,我们分享本期DBASK小程序整理出的问题和诊断总结,供大家参考学习。问题一、对于temp表空间爆满情况,怎么处理?undotemp表空间很大,我的思路是增大表空间大小或者,新建个tem

2019年你应该认真对待这7个移动安全威胁

如今,移动安全是每家公司最担心的问题——而且理由很充分:几乎所有员工现在都经常使用智能手机访问公司数据,这意味着让敏感信息不落入坏人之手是一个越来越复杂的难题。可以说,风险比以往任何时候都要高:根据波

云架构远没想象般安全 派拓网络五大建议助力云安全

当企业业务大量向云端转移,云上安全问题变得愈加严峻,如何保障云端业务的安全成为企业关注的重点问题之一。前不久,网络安全企业PaloAltoNetworks(派拓网络)发布了一份云安全报告,揭示亚太区大

细数SAP环境中的8大安全错误

现代SAP足迹的复杂性和常见的安全故障使许多组织暴露在可避免的风险中。配置错误和其他错误(其中许多是多年来众所周知的)不断破坏企业SAP环境的安全性。SAP足迹的迅速复杂性增长是造成这种情况的一个重要

全球数据泄露报告:内部威胁成数据安全最大风险!

一份最新报告显示,由现任和离职员工引起的内部威胁使公司容易遭受破坏,并使公司数据面临风险。Code42发布的《2019年全球数据泄露报告》还质疑,是否需要资助和部署正确的数据安全解决方案来阻止内部威胁

阿里达摩院 vs Gartner:2020 科技趋势预测,你更信谁?

信息革命、移动互联网革命尚未落幕,智能革命又像一头大象一样撞进人类的生活,激荡着整个世界。任何足够先进的科技,初看都与魔法无异,但魔法背后是对规律和趋势的洞悉。2020年初,阿里巴巴旗下达摩院发布了2

Mysql中,21个写SQL的好习惯,你值得拥有呀

课程推荐:PHP开发工程师--学习猿地精品课程 前言每一个好习惯都是一笔财富,本文分SQL后悔药,SQL性能优化,SQL规范优雅三个方向,分享写SQL的21个好习惯,谢谢阅读,加油哈~github地址

从生态合作到生态协同 细数华为生态圈的二三四五

数字化、智能化,这些近两年被大家“叫烂了”的词汇依旧热度不减。毋庸置疑,数字化近年来正在源源不断的为大家提供各种宏利。作为全球领先的ICT(信息与通信)基础设施和智能终端提供商,华为始终致力于把数字世

细数流年 见证H3C小贝涅槃的成长之路

随着移动互联网、互联网+、移动支付等创新技术推进,越来越多企业的业务与网络深度耦合在一起,当然也包括众多的中小企业。新华三集团从2014年开始用“H3C小贝”系列产品布局这个市场,而我做H3C小贝核心

智慧城市带来的网络威胁有哪些?

如今,中国城市正在疾步向前拥抱智慧时代,我国是全球智慧城市建设最为积极的国家之一。近年来,智慧城市建设步入快车道时代!据不完全统计,中国智慧城市的发展数量已经超过500个,居世界之最。然而,智慧城市给

Facebook又叒陷数据门,5亿条数据不安全存储在亚马云服务器中

大数据文摘出品编译:周素云上周Facebook用户又经历了糟糕的一周。Facebook发言人对各大主流媒体承认,用户的多组个人数据被存放在亚马逊AWS数据库中,包括数以百万计的Facebook用户的超

打好网络安全攻坚战 思科年度安全报告系列关注未知安全挑战

当网络攻击愈演愈烈,当勒索软件愈加嚣张,企业对于网络安全的重视程度稳步提升。网络安全在企业中的地位从没像今天这般高涨。但不可否认的是,即便企业提升了对网络安全的防护,但网络安全威胁依旧长期存在且愈加复

MongoDB初学者最常用的10个命令

1.登录mongodb 以下命令可以用于登录mongodb数据库,但是需要保证用户你声明的数据库中存在对应的用户和密码 mongo--host--port-u-p--authenticationDat

程序员常用的15 种开发者工具推荐

  程序员常用的15种开发者工具引荐:Java线上诊断工具Arthas、IDE插件CloudToolkit、混沌实验注入工具ChaosBlade、Java代码规约扫描插件、应用实时监控工具ARMS、静

制定灾备计划时要考虑的10个问题

每年的3月31日,世界各地的IT专业人士都会庆祝世界备份日,这引起了全世界对数据备份的重视,设立世界备份日的目的是通过确保实施并遵循备份计划来保护我们的数据。尽管人们已经有这方面的意识,但令人难以置信

专业人士必备的10个渗透测试工具

渗透测试,也被称为穿透测试或道德黑客攻击,就像电影《Sneakers》中那样,黑客顾问在攻击者之前侵入你的公司网络,找出弱点。这是一个模拟的网络攻击,pentester使用恶意黑客可用的工具和技术。在

史上最快AI计算机发布!谷歌TPU V3的1/5功耗、1/30体积,首台实体机已交付

大数据文摘作品还记得8月份占据各家科技头条的有史以来最大芯片吗?这个名为CerebrasWaferScaleEngine(WSE)的“巨无霸”面积达到42225平方毫米,拥有1.2万亿个晶体管,400

效率提高N倍的19条MySQL优化秘籍

一、EXPLAIN做MySQL优化,我们要善用 EXPLAIN 查看SQL执行计划。下面来个简单的示例,标注(1,2,3,4,5)我们要重点关注的数据type列,连接类型。一个好的sql语句至少要达到

近50年来最具影响力的10种编程语言,都是谁发明的?

大数据文摘出品编译:洪颖菲、武帅前不久文摘菌曾报道过4分钟看尽Top15编程语言15年来的沉浮史,评论中就有小伙伴留言了为什么Ruby、Lisp这些语言在榜上寂寂无名?软件世界中有各种各样的编程语言,

关于分析IT系统宕机对业务影响的10个提示

在制定灾难恢复计划时,一个非常重要的任务就是,要确定并想方设法避免潜在的威胁,同时为最坏的情况做准备。业务影响分析(BIA)提供了解决突发事件所需的信息,前提是您要事先做好万全准备。遵循详尽的业务影响

Python程序员进阶必备:从新手到高手的100个模块

在知乎和CSDN的圈子里,经常看到、听到一些python初学者说,学完基础语法后,不知道该学什么,学了也不知道怎么用,一脸的茫然。近日,CSDN的公众号推送了一篇博客,题目叫做《迷思:Python学到

梆梆安全:做以结果为导向的安全服务商

作为国内领先的安全服务提供商,梆梆安全不谈概念,始终从基本出发,致力于解决客户的根本性问题。通过运用领先技术提供专业可靠的服务,为全球政府、企业、开发者和消费者打造安全、稳固、可信的安全生态环境,其用

关于消息推送服务的十问十答

课程推荐:大数据开发工程师--学习猿地精品课程 随着移动互联时代进入下半场,寻找流量红利的突破口成为每个互联网人思考的命题。互联网的运营一切都是为了增长,毫无疑问,增长是运营的使命。 为了引出本文的主

用于构建API和微服务的流行JavaScript框架

课程推荐:Java开发工程师--学习猿地精品课程 近年来,随着jQuery、JSON(JavaScript的对象表示法)、MongoDB、ES6Generators的广泛使用,JavaScript发展