行业动态

微软云服务漏洞频遭曝光 360专家支招保障上云安全

作者:admin 发布时间:2021-09-14 14:19:00
摘要:上云正在成为企业数字化转型的必然趋势,但也带来了新的安全风险。

近日,微软云服务漏洞接连两次被曝光,8月末,微软Azure的旗舰产品Cosmos数据库中被曝存在漏洞,黑客能够通过该漏洞访问、修改和删除数千名 Azure 客户的数据,9月上旬,微软又发布一条关于 Azure 容器实例(ACI)服务的安全公告,称发现了一个漏洞,使得同一个服务器集群中的用户数据有可能相互泄露。

云安全风险正在急剧扩大,上云导致数据泄露的例子已然不少。根据IDC 2020年的一份调查报告显示,在过去的18个月中,近80%的公司至少经历了一次云数据泄露,而43%的公司报告了10次或更多泄露。

对此,三六零(601360.SH,下称“360”)政企战略小组高级安全专家魏小强指出,云上配置非常复杂,对于上云的企业而言,仅仅依靠云平台厂商所提供的安全服务是不够的,还需要依靠一些补充的安全能力和服务,如依靠专业第三方安全厂商来帮助企业保障其业务上云安全。

6成企业在云上需求激增 云安全问题不可忽视

企业上云已经是大势所趋。在过去的十年中,云服务的使用持续增长,尤其在发生疫情后,许多企业加速数字化转型,以便让员工能够在家中工作

云安全联盟(CSA)的一项报告显示,2019年只有25%的企业在公共云中运行41%或更多的工作负载,2021年,则有63%的受访者预计将在公共云中运行41%或更多的工作负载。

不过,上云以后,许多安全问题也暴露出来。上述报告指出,受访者被要求选择他们的组织在采用公有云时遇到的麻烦,最常选择的回复是“网络安全”。 据了解,云安全的首要担心是数据丢失和泄露,其次是数据隐私和保密。

魏小强指出,频频出现云安全问题,原因主要有三点。一是,云应用本身的特点使得网络攻击面增大,例如远程办公的员工在家、咖啡厅、网吧、机场等公共场所,而这些公共场所往往没有采取足够严格的网络安全措施,很容易被网络犯罪分子所利用,窃取受害者的账号、密码,诱骗其点击非法链接,种植木马,进而实现监控其电脑,并通过其个人电脑发起对企业敏感数据的攻击、窃取等。

二是,上云以后,企业的IT环境变得异常复杂,企业的应用可能分布在公有云、私有云、数据中心等多个地方,缺乏统一的安全管理措施,传统安全防御体系无法满足云的弹性需求,多云环境下缺乏有效的安全手段,从而导致不断出现新的安全孤岛,暴露面增大,顾此失彼,数据泄露频繁发生。

三是,企业缺乏专业安全人员,传统安全维护团队往往缺乏云上的安全经验。企业上云后,云上业务系统的管理直接在互联网上进行,很可能一个管理员的误操作都会导致特权账号暴露被攻击。大量的云上的安全问题都因为操作失误或配置错误导致,安全人才的缺乏将延缓企业上云进程。

保障上云安全 超半数企业使用第三方安全服务

企业如何保障自身上云安全?魏小强建议,无论在选择公有云、自建私有云,或者大多数企业采用的混合云的方式时,企业都需要选择可信的合作伙伴。

首先,企业需要理解公有云的责任共担模型,审查云供应商的具体合作服务条款和保障;其次,企业要加强安全培训,了解云安全风险,增强自身安全风险意识;另外,要控制用户的访问权限,保护用户终端,保持云服务的安全可见性,对敏感数据加密等,需要构建其整体云安全战略框架及执行策略;最后,结合自身安全能力,选择高水平的安全合作伙伴,共同构建云时代的安全防御体系。