SaaS、PaaS、IaaS，如今的企業(yè)可以選擇任意的云服務(wù)交付類型，但是這里有一個他們無法忽視的問題：安全。而且，不同的人對安全性的認識均有所不同，比如IT和業(yè)務(wù)線人員(LoB)就對基于云的應(yīng)用風(fēng)險具有不同看法。

[[258874]]

云里有什么?

如果想要遷移到云端，那么企業(yè)可能會希望利用可快速實施的統(tǒng)一通信和協(xié)作服務(wù)，以提供更多的特性和功能，并同時減少預(yù)算。同樣的思維過程也適用于他們的呼叫中心。云計算很有吸引力，但IT人員和業(yè)務(wù)主管對安全風(fēng)險的看法則不同。

去年1月Ponemon發(fā)布了由Salesforce贊助的云安全報告《縮小云安全業(yè)務(wù)的差距》(Closing the Cloud Security Business Gap)，該報告調(diào)查了與云服務(wù)相關(guān)的各種觀點、問題和業(yè)務(wù)立場。其中比較有趣的是，IT組織人員與LoB人員對安全性的看法有所不同。由于這兩個領(lǐng)域并不一致，因此在創(chuàng)建過程、實施的程序、預(yù)算定義預(yù)安全性執(zhí)行方面可能存在沖突。盡管他們具有相類似的上云原因，但其背后目的并不一樣，IT需要降低成本，而LoB希望提高效率和減少部署;IT希望提高安全性(24%)，而LoB認為這個并不是太重要(12%)。

來源：Ponemon,2018

云端風(fēng)險

Ponemon報告的結(jié)論之一是，不了解使用中的云應(yīng)用程序和平臺(SaaS或PaaS)可能會帶來風(fēng)險。報告發(fā)現(xiàn)，77%的受訪者對收集、處理和/或存儲的敏感數(shù)據(jù)沒有完全的可見性。在另一個結(jié)論中，50%的人不確定他們的IT組織是否知道目前正在使用的所有云應(yīng)用程序。當(dāng)被要求對風(fēng)險水平進行評級時，69%的人認為不知道目前使用的所有云應(yīng)用程序和平臺的風(fēng)險水平。

下圖顯示，對于云解決方案和本地解決方案，對云安全性的看法是差不多的。它還表明，LoB(20%)和IT(38%)對云安全資源的關(guān)注之間存在脫節(jié)。

來源：Ponemon,2018

數(shù)據(jù)外泄

數(shù)據(jù)外泄問題將可能導(dǎo)致信息竊取、更改網(wǎng)站上的信息、將用戶連接到惡意代碼和信息，或禁用企業(yè)的資源等問題。最常見的罪魁禍?zhǔn)资侨藶殄e誤(48%)。這意味著企業(yè)必須監(jiān)視其用戶，以發(fā)現(xiàn)導(dǎo)致安全問題的用戶實踐行為。網(wǎng)絡(luò)攻擊占安全問題的43%。處理攻擊需要不同的工具集，從監(jiān)視網(wǎng)絡(luò)和應(yīng)用程序的異常行為到安裝預(yù)防措施。比較有趣的是，安全問題的第三大來源是系統(tǒng)故障(36%)。這可能意味著安裝不當(dāng)、疏忽、沒有更新補丁、延遲更改、IT人員缺乏知識或培訓(xùn)不足，所有這些都是IT管理問題。

來源：Ponemon,2018

SaaS vs. PaaS安全責(zé)任

假設(shè)企業(yè)正在使用云服務(wù)，誰負責(zé)安全性?SaaS與PaaS安全責(zé)任的比較存在著明確的意見分歧。在使用SaaS時，受訪者表示他們希望云服務(wù)提供商(SaaS)負責(zé)(29%)。當(dāng)與PaaS合作時，這一比例下降到17%。當(dāng)被問及是否應(yīng)該共享安全責(zé)任時，只有13%SaaS客戶希望共享責(zé)任，而在PaaS客戶中比例上升到25%。

來源：Ponemon,2018

IT vs. LOB安全認知

報告的結(jié)論是，LoB比IT安全部門更有可能相信存于云中的敏感/機密信息會比本地信息更安全。根據(jù)下圖，46%的LoB受訪者認為云中的敏感或機密數(shù)據(jù)更安全，而IT受訪者只有28%認為如此。33%的IT受訪者和25%的LoB受訪者表現(xiàn)他們的功能對信息安全負有較大責(zé)任。

LoB和IT都不認為云服務(wù)提供了比本地計算更安全的環(huán)境(IT 49% vs. LoB 45%)。

來源：Ponemon,2018

一些觀察

使用云服務(wù)可以減輕IT的工作量。這也意味著它的控制權(quán)更少，將依賴第三方的安全。它看到負債增加。LoB看到了一個更有效的解決方案。

IT認為風(fēng)險妨礙他們的操作，產(chǎn)生額外的工作，并在發(fā)生攻擊時投訴。

IT認為攻擊是一種成本，因為它們會耗盡資源。

LoB認為此次攻擊不僅會影響收入和利潤，還會受到監(jiān)管機構(gòu)的費用和罰款的影響。

LoB更加關(guān)注客戶流失和聲譽受損。

似乎IT與LoB對安全具有當(dāng)前的認知可能是由于本地安全功能的聲譽不佳。 對于云的營銷工作對LoB的影響可能比IT部門更大。 IT和LoB必須能進行更好地溝通，更多地了解對方的看法， 目標(biāo)和現(xiàn)狀。

查看完整報告請點擊：

http://s3.amazonaws.com/idgcampaigns/documents/uploaded_data/05c/4f2/1a-/original/closing-the-cloud-security-business-gap.pdf?1542300161

原文鏈接：https://telecomreseller.com/2019/03/04/cloudy-security-concerns-it-vs-lob/

作者：Gary Audin