企業(yè)云安全問題隨著云領(lǐng)域投入的不斷提升而得到高度關(guān)注，根據(jù)一份報(bào)告顯示，用戶憑證濫用已經(jīng)成為其中最為嚴(yán)重的威脅因素。

[[166928]]

在此次受訪的2200名全球安全專家中，超過半數(shù)表示偽造員工憑證的未授權(quán)訪問與不當(dāng)訪問控制機(jī)制屬于云安全領(lǐng)域的頭號(hào)威脅，緊隨其后的則為賬戶劫持(44%)與不安全接口(39%)。

“超過56%的受訪組織在內(nèi)部環(huán)境下使用Active Directory以驗(yàn)證并授權(quán)指向云應(yīng)用程序的訪問活動(dòng)，例如微軟Office 365，”戴爾公司系統(tǒng)與信息管理部門首席解決方案顧問Alvaro Vitta表示。

“事實(shí)上，Active Directory安全控制機(jī)制并不能提供足夠的保護(hù)，意味著云應(yīng)用程序面臨著未授權(quán)訪問的潛在風(fēng)險(xiǎn)。千萬別讓內(nèi)部Active Directory成為大家混合目錄環(huán)境下的軟肋所在，”他強(qiáng)調(diào)稱。

亦有三分之一的受訪組織表示，敏感信息的外部共享可能成為最為嚴(yán)重的安全威脅。

總體而言，研究表明云安全關(guān)注正隨著云計(jì)算普及范圍的擴(kuò)大而得到重視，事實(shí)上安全問題已經(jīng)成為阻礙云方案推廣的頭號(hào)因素。

在此次調(diào)查中，有53%受訪者重視常規(guī)安全關(guān)注，這一比例高于去年的45%，緊隨其后的則分別為法律與合規(guī)要求的42%(去年為29%)以及數(shù)據(jù)丟失與泄露風(fēng)險(xiǎn)的40%。

從理論到實(shí)踐

根據(jù)調(diào)查報(bào)告，對合規(guī)性及整合工作的重視意味著已經(jīng)有眾多企業(yè)開始將云模式由理論考量轉(zhuǎn)化為實(shí)際操作。

“隨著企業(yè)積極尋求利用云計(jì)算降低IT成本、提高靈活性并更好地支持各項(xiàng)業(yè)務(wù)功能，云環(huán)境下的數(shù)據(jù)與應(yīng)用程序安全性已經(jīng)成為一項(xiàng)關(guān)鍵性前提，”在領(lǐng)英上擁有30萬成員的信息安全社區(qū)創(chuàng)始人Holger Schulze表示。

“〈2016年云安全聚焦報(bào)告〉指出，隨著眾多企業(yè)不斷加大云基礎(chǔ)設(shè)施投入力度，其同時(shí)亦開始意識(shí)到需要在新環(huán)境下實(shí)現(xiàn)與傳統(tǒng)IT基礎(chǔ)設(shè)施中相對等的安全控制與功能，”他強(qiáng)調(diào)稱。

傳統(tǒng)工具在云環(huán)境中往往表現(xiàn)不佳

然而，Schulze指出企業(yè)發(fā)現(xiàn)傳統(tǒng)安全工具在云環(huán)境中往往表現(xiàn)不佳。“在共享庫模式當(dāng)中，企業(yè)需要運(yùn)用行之有效的云安全系統(tǒng)來強(qiáng)化自身安全水平，同時(shí)充分利用云計(jì)算所承諾的固有優(yōu)勢，”他表示。

此次調(diào)查發(fā)現(xiàn)，84%的受訪者對于傳統(tǒng)安全工具在云基礎(chǔ)設(shè)施中的表現(xiàn)不甚滿意。受訪者們表示，傳統(tǒng)網(wǎng)絡(luò)安全工具在某種程度上效果不佳(48%)、完全無效(11%)或者無法在云環(huán)境下確定其具體效果(25%)。

Bitglass公司首席執(zhí)行官Nat Kausik指出，盡管云安全已經(jīng)迎來了長足進(jìn)步，但無論是原生還是傳統(tǒng)工具都無法徹底解決其安全隱患。“憑借著針對性明確的云安全工具，企業(yè)能夠遵循合規(guī)性并控制數(shù)據(jù)泄露風(fēng)險(xiǎn)，”他指出。

IT正在快速轉(zhuǎn)型至更具敏捷性的共享式彈性基礎(chǔ)設(shè)施生態(tài)系統(tǒng)，同時(shí)配合持續(xù)交付且與傳統(tǒng)區(qū)別明顯的安全工具，CloudPassage公司首席產(chǎn)品官Ram Krishnan表示。

“云計(jì)算要求安全平臺(tái)針對云環(huán)境進(jìn)行專門構(gòu)建，然而目前的方案還不足以跨越任意基礎(chǔ)設(shè)施為其保護(hù)的工作負(fù)載提供可視化、自動(dòng)合規(guī)、快速部署及微調(diào)整能力，”他坦言。

強(qiáng)化云安全

對于企業(yè)而言，最令人頭痛的三大安全難題分別為云安全策略驗(yàn)證(51%)、可視化(49%)以及合規(guī)性(37%)。

這樣的結(jié)果證明，企業(yè)已經(jīng)在云模式的實(shí)際運(yùn)用方面較2015年走得更遠(yuǎn)，而且正積極尋求足以強(qiáng)化保護(hù)能力的安全系統(tǒng)，這份調(diào)查報(bào)告指出。

不過報(bào)告同時(shí)提醒稱，邁向云環(huán)境的企業(yè)事實(shí)上擁有多種云安全強(qiáng)化方案可供選擇。

約有61%的企業(yè)受訪者表示正計(jì)劃培訓(xùn)并認(rèn)證現(xiàn)有IT人員，45%決定與托管安全服務(wù)供應(yīng)商合作，42%則正在部署更多安全軟件以保護(hù)云環(huán)境下的數(shù)據(jù)與應(yīng)用程序。

(ISC)2公司首席執(zhí)行官David Shearer則對61%受訪企業(yè)做出的培訓(xùn)與認(rèn)證決定表示贊賞。

“這表明合格及接受過適當(dāng)訓(xùn)練的專業(yè)人士在保護(hù)企業(yè)安全當(dāng)中所發(fā)揮的關(guān)鍵性作用。隨著云安全問題關(guān)注度的持續(xù)上升，我們對這樣的倡議表示支持，”他指出。