云安全的诅咒

CSO |

第七届年度全球信息安全调查:公司争着要在云服务。但是从安全的角度来看,最大的问题是,很少有人知道他们正在处理。(一个四部分系列的第二)

虚拟化和云计算让您简化物理IT基础架构,降低管理成本,但你才刚刚开始看到安全隐患参与。

相关的播客:为什么虚拟化安全这么乱

把更多的云基础设施的已经离开你容易受到谁已经加倍努力,以拒绝服务的推出对谷歌,雅虎和其他基于互联网的服务供应商的同类攻击的黑客。一个大规模停电谷歌今年早些时候说明了一种混乱云相关的企业可以承受的。

另请参见:谷歌失败和雾在云安全

这是从第七年度全球信息安全调查的大外卖,这CSO和CIO杂志与普华永道在今年早些时候进行的一个。全世界约7200业务和技术高管来自不同的行业,包括政府,医疗保健,金融服务和零售回应。

在,SANS parachuteGiven费用跳转到维护物理IT基础设施,更换云服务的服务器机房和随意配置家电的想法简直是太辛苦了很多企业的抵制。但是,冲进没有安全策略,云是对风险的良方。据调查,43%的受访正在使用云服务,如软件即服务或基础设施即服务。更是投资于虚拟化技术,可帮助实现云计算。受访者百分之六十七说,他们现在使用的服务器,存储和其他形式的IT资产的虚拟化。其中,48%真的相信他们的信息的安全性有所改善,而42%的人说他们的安全是在大约相同的水平。只有10%的人认为虚拟化创造了更多的安全漏洞。

安全性很可能已经改善了一些,但像克里斯·霍夫,在思科系统公司的云和虚拟化解决方案总监专家认为,消费者和供应商需要确保他们了解风险与技术,业务和组织变革带来的这些技术相关熊。

“当你看看人们是怎么想的虚拟化意味着什么,虚拟化的定义是要么非常狭窄 - 这是关于服务器整合,虚拟化应用程序和操作系统,并整合一切下降到较少的物理盒子 - 或它的任何数量的其他元素组成:客户端台式机,存储,网络,安全,”他说。“那你让人困惑的云计算,正在由微软推动的概念,许多较小的新兴公司。你留下摸不着头脑想知道这意味着什么,你作为一个公司,它是如何影响您的基础设施?”

hopeFortunately的迹象,有企业谨慎行事的一些证据。

一个例子是Atmos的能量,这是使用Salesforce.com来加快其客户响应时间,帮助营销部门管理的客户越来越多池,根据CIO丰富Gius。的努力是成功迄今为止,所以Gius正在调查在云中运行企业电子邮件的可行性。“这将帮助我们应对日益严峻的挑战,其中像黑莓电子邮件启用移动设备在员工中广泛增殖,”他说。但他不准备采取这样的一大步,因为风险,包括安全性,仍然难以确定。中断云相关的公司可以体验的一个例子就是在五月,当搜索引擎巨头Googlewhose内容占所有互联网的5%trafficsuffered大规模停电。当它落下去,有许多企业开始依赖于它的基于云的业务应用程序(如电子邮件)都死在水中。

停电不是由黑客引起的,但有迹象表明,网络罪犯正在探索如何利用用于恶意目的的云。在停电的高跟鞋,攻击者通过充斥恶意链接谷歌的搜索结果,促使美国计算机紧急响应小组(CERT美国)发出有关潜在危险到基于云的服务站点警告越描越黑。

攻击病毒利用Adobe软件漏洞知道要安装在受害者的计算机恶意程序毒死几千合法网站,美国CERT说。然后程序会从受害者窃取FTP的登录凭据并使用这些信息本身进一步蔓延。它还劫持受害者的​​浏览器,谷歌取代搜索与攻击者所选择的链接结果。尽管受害的网站并不特别是那些提供基于云的服务,类似的方案可以在云服务提供商为目标。

IT组织往往讲得很差,所以易于查找和利用漏洞被留下配置物理和基于云的IT资产,使攻击者的工作变得更加轻松。当被问及在他们的虚拟化环境中的潜在漏洞,36%的受访者误配置和执行不力,而51%的人认为缺乏充分的培训IT人员(其知识缺乏导致的对配置毛刺)。事实上,受访者22%的人认为培训不足,与审计不足(来发现安全漏洞)一起成为最大的安全隐患,以他们公司的云计算战略。

正是这种意识,使Atmos的能源的Gius谨慎行事。“我们没有CSO。如果我们是一家金融服务公司可能是一个不同的故事,或者,如果我们有一个巨大的头数,” Gius说。“但我们是一个小到中等规模的公司,工作人员限制使得这些类型的实现变得更加困难。”

即使有合适的资源,在云安全是管理各种跨多个平台风险的问题。没有单一的云。相反,“有很多云,他们不是联盟,他们没有实现互操作在应用层,他们是在自己的平台和操作的所有主要专有的,”霍夫说。“那种认为我们都跑出来把我们的内容和应用程序中的一些常见[和保护]仓库在别人的基础设施是不现实的。”

马克Lobel,在普华永道安全实践的合伙人说,完美的安全性是不可能的。“你必须积极着眼于安全控制,而你是跳跃到这些服务,”他说。这是企业难以回头,一旦他们有让他们的数据和应用程序松动,因为他们往往很快就摆脱他们需要把服务返回的内部硬件和技能本身。

“如果你俯冲下来一个良好,无一根绳子,你会发现你想要的水,但你不会得到井出不绳子,”他说。“如果你有一个缺口,你需要离开云?你能不能出去,如果你有什么打算?”

这个故事,“云安全的诅咒”最初发表CSO

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
有关:

©2009Raybet2

IT薪资调查:结果是