从RSA 2016看云计算安全
随着越来越多公司采用云计算,云安全问题也变得日益多样化。数据安全依然是企业在考虑向云迁移的时候,最大的顾虑,但并不是影响企业决策的决定性因素。
2月29日-3月4日,全球规模最大、最具影响力的安全产业年度盛会RSA 2016在旧金山召开。来自全球的500多家安全厂商出席了本次盛会,400多场专业论坛共同探讨了最新的安全技术与理念。CSA(Cloud Security Alliance,云安全联盟)在大会第一天举办了高峰会议,专门讨论了云安全的话题。
云安全联盟成立于2009年3月31日,旨在为云计算提供最佳的安全方案,eBay和全球大型金融服务集团ING(荷兰国际集团)是该团体的创始成员。目前CSA已经成为全球云计算安全的核心力量。
在本次高峰会议上,CSA发布了一项关于云安全现状的报告,报告中显示采用云计算的企业数量在飞速增长。CSA认为这种增长得益于自上而下的IT策略计划,以及在个人用户和部门的病毒传播。
云计算的主要模式有SaaS(Software-as-a-Service),PaaS(Platform-as-a-Service)和IaaS(Infrastructure-asa-Service),现在基于S-P-I模式又衍生出了其它的云服务模式,比如DaaS(Data as a Service),SecaaS(Security as a service),NaaS(Network as a Service)和IDaaS(Identity as a Service),对于企业的细分需求,云服务有了更多种类的选择余地。
然而这些不同云服务的安全管理和审计,对于企业来说依然是一个挑战,如果云服务商提供的安全控制质量不同的话,这种情况会被加重。尽管如此,CSA创始人Jim Reavis认为这些风险都是可管理的。
CSA今年年初公布了一项对200位IT和安全专家的调查报告,报告显示:65%的人认为,云计算供应商能够提供和企业内部IT系统一样,甚至更好的安全控制。
Reavis说:『这些威胁基本上由采用云计算的企业自身造成的,而且可以通过综合的管理和技术手段得到缓解。』
以下是过去一年云计算领域主要的安全问题:
The Dirty Dozen
CSA在一篇报告中细数了云安全的『十二大恶人』,其中数据外泄,不安全的API(ApplicationProgramming Interface),以及脆弱的身份管理和访问控制是企业面临的最大安全问题。其它主要问题包括系统和应用缺陷,账户劫持和恶意的内部人士。
这是近几年来CSA第二次列出云计算主要安全威胁,相比上一次,许多条目并没有变。最大的变化在于出现了来自身份管理和访问控制的威胁,以及不安全的API。Reavis认为主要云服务商,这意味着攻击者会将用户证书作为捷径。
缺乏云安全技能
许多组织中缺乏能够应对云安全问题的专业人员。据RSA大会上Skyhigh Networks的演讲中介绍,相比内部策略,云计算违约监测,以及可控告的云安全分析的缺乏,技术人员的缺乏是更大的阻碍。
CloudPassage的首席技术专家Sami Laine认为:『保护和应对云计算的业务需求确实给安全团队带来了很大的压力,很多情况下,企业内部甚至没有人能处理云安全的问题。』
敏捷IT对云安全的影响
Laine认为,由于越来越多的组织采用敏捷IT服务的交付模式,也带来了新的云安全挑战。安全团队必须要能够应对比以前更频繁的软件代码发布,甚至是开发者提交代码的周期都在以指数的速度缩短。
他认为,对于许多企业来说,唯一的办法是,将关键性的安全服务交付自动化,比如防火墙配置,特权用户管理和软件评估。
容器化带来的机遇和挑站
Laine认为,容器技术和微服务架构为组织的安全带来了更多机会。比如,容器减小了攻击平面,应用组件间的隔离也更彻底。但也带来了新的安全挑战。
容器化是一个完全的变革,容器可以在毫秒内启动,组织可以基于容器构建微服务架构。
但是云中的容器环境,通过传统的安全工具,监控起来会很困难。Laine说:『你对系统的监控没有之前全面了,也无法确认安全配置是否合适。比如,定期的扫描可以帮助组织检测漏洞,然而在一个容器不间断运行的环境中,运行定期的扫描是一件很困难的事情。』
云计算公司Rackspace在RSA的演讲中列出了另一些担忧。比如Docker作为容器的事实标准,以root权限运行,所以都有最高的权限。类似地,容器环境提供了许多存储方式的选择,可能会造成不可控和数据明文存储的问题。
CSA发布的云安全现状报告,以及RSA大会上关于云安全的PPT下载:http://vdisk.weibo.com/s/FdIh4Kv1njzm1