在全球新冠疫情大流行期間,世界各地的企業組織紛紛将數字化建設的重點轉移到為遠端員工和虛拟環境提供支援,是以雲計算的建設和應用得到了快速發展。而在此期間,一些非法攻擊者也看到了機會,針對雲計算的網絡攻擊開始不斷增加。這讓很多企業管理者對雲計算的應用安全性産生了誤解。
對于企業組織來說,準确認清雲應用安全方面的事實和謊言是至關重要的,這将會直接影響其未來雲化發展戰略的決策與執行。在本文中,研究人員收集了目前關于雲計算應用安全性的五個誤區,并對其進行了分析和說明。
誤解1:雲計算的本質就是不安全的
自從企業組織開始向雲上遷徙開始,許多科技類、行業類甚至安全類的專業媒體就一直在向公衆反複傳遞一種觀點,上雲後會面臨更大的安全挑戰,雲計算的本質似乎就代表了不安全性。持有這種觀點的人,往往過分聚焦在雲計算的一個特性:它實作了更廣泛的通路和連接配接,可以從世界上任何地方通過網際網路通路,是以很容易受到網絡攻擊和資料洩露等威脅。
其實,對于任何的資訊化系統,完全保證安全都是不可能的。在傳統網絡系統上,即便企業大量采用了加密、防火牆、IPS、WAF、DLP等安全防護措施,攻擊者也總有可能繞過這些防禦措施,非法擷取到敏感資料。對于雲計算應用而言,其面對的安全威脅态勢和傳統資訊化應用并沒有明顯的差别。而且,相比很多企業普遍存在的專業安全營運能力不足,雲服務提供商更有能力和條件,確定底層計算裝置不斷更新和加強,進而有效抵禦各種可能的威脅。此外,目前主流的雲服務提供商均能夠提供各種内置安全工具和能力,這大大簡化了企業雲安全管理的難度。
事實上,今天的雲服務提供商在保護客戶雲計算應用安全方面投入了大量資金和人力,是以可以說,雲服務提供商通常采用了比一般企業組織更先進的安全措施。他們有專門的安全團隊,專職負責檢測和應對安全威脅,并不斷改善雲計算平台的整體安全态勢。這些安全團隊會持續性地收集、研究最新的威脅情報,并不間斷地對雲計算平台安全威脅狀況進行監控。
誤解2:雲服務提供商可以窺視企業的雲上資料
關于雲計算應用的最大誤解之一,就是雲服務提供商可以不受制約地通路和擷取客戶的雲上資料。被媒體大量報道的雲上資料洩露和非法通路事件則不斷加劇了使用者的這一誤解,引發了企業對雲計算應用時的隐私性和資料安全擔憂。
一旦資料進入雲端,客戶就幾乎無法控制資料,這确實會引發企業的擔心。但事實上,盡管雲服務提供商在向客戶提供雲計算應用服務時,有時會需要通路客戶的雲基礎設施,但他們的各種營運行為都會受到嚴格而廣泛的資料隐私法規限制,以確定使用者雲上資料的機密性和安全性。此外,雲服務提供商還需要按照監管機構要求嚴格管理和保護雲上的資料安全,主動應對和降低資料洩露的風險。
誤解3:實作雲應用安全太過昂貴
造成這種誤解的原因是,一些企業往往隻關注了實作雲應用安全的初始成本,卻忽略雲計算應用的長期性好處及投入成本效益。通過将雲基礎設施和安全營運維護外包給雲服務提供商,企業組織可以在計算裝置、軟體系統和安全人員配備上節省大量的資金投入。
此外,雲服務提供商還可以提供可靈活的可擴充性,讓企業更好适應未來不斷變化的業務發展需求,進而實作對雲計算資源的按需使用。當企業組織與雲服務提供商合作時,他們可以依靠雲服務提供商的專業知識和系統化資源來獲得一流的安全性和災備服務。避免了單獨評估、管理和維護這些服務時的人力和成本投入。
誤解4:隻有大企業才能安全地使用雲
對于很多中小企業組織來說,了解和使用雲計算這樣的技術是有一個學習曲線的。是以會産生一種誤解,隻有大企業才有條件安全的使用雲計算。事實上,雲計算具有足夠的應用彈性,已成為各種規模企業都可以輕松應用的重要技術。
對于中小型企業組織來說,雲計算提供了各種各樣的服務,從基本檔案存儲到大資料分析、資料安全、測試和開發等等。雲還為中小型企業提供資料安全、威脅檢測和災難恢複等安全性選項,其中很多能力在傳統模式下隻有大公司才能投入建設并使用。是以,可以認為雲計算技術其實給很多中小型企業創造了一個和大型企業更加公平競争的環境。
誤解5:雲計算會面臨合規方面的挑戰
盡管近年來雲計算技術在政府、金融、交通、能源等行業中迅速落地應用,但也帶來了一個新的誤解,就是雲計算技術難以符合目前的行業性法規和标準要求,會給企業帶來應用合規方面的挑戰。由于擔心不合規的風險,很多企業也擱置了向雲上遷徙的計劃。
事實上,雲計算具有更強大的安全措施和資料保護能力,可以幫助企業組織增強對法規和标準的遵從性。雲服務提供商在面向行業使用者提供雲計算服務前,都會投入大量資源開展應用的合規性建設,以確定其系統符合各種法規和标準(如HIPAA和GDPR)。
雲技術通過提供資料管理和通路的實時可見性,使企業能夠輕松跟蹤和監控法規要求的合規性。該特性允許企業輕松識别和解決遇到了違規問題,進而降低違法風險。