查看原文
其他

云安全联盟:基础设施即服务导致影子IT新变种

nana 安全牛 2022-06-17

作为向IaaS迁移的一部分,定制应用在公共云中的使用越来越广泛。



公司企业不能依赖现成的商用软件来满足所有的IT需求:几乎所有公司都开发他们自己的定制App。此类App中的大多数,无论是内部或面向互联网的,目前都运行在自有或本地运营的数据中心。但到2017年底,这种情况将发生改变——大多数企业定制App,将随全行业向“基础设施即服务”(IaaS)迁移的增速,而存在于公共云中。


云安全联盟(CSA)和 Skyhigh Networks 在2016年12月到2017年1月间对314名适格者进行了问卷调查。结果( http://info.skyhighnetworks.com/rs/274-AUP-214/images/wp-csa-survey-custom-apps-iaas-survey-report.pdf )显示:越来越多的定制App,在安全团队未必知晓的情况下,被转移到了云基础设施上(主要是AWS、Azure和谷歌云平台)。这显然是一种新的影子IT——未必是IT部门不知道的软件,但却是安全主管不知晓的。



这就产生了新的安全和合规问题——因为CISO没办法保护他们看不到的东西。或许App开发者会假定自己的App受到云提供商的安全防护,因而没必要经过内部安全团队的审批。显然,大部分受访者都认为IaaS比本地数据中心更安全——仅仅因为亚马逊、微软和谷歌可用的安全资源数都数不清。


但是,云运营的责任是共享式的,客户得对其上传的数据和开发的App负责。该报引用了 Code Spaces 的例子——在AWS上为客户提供代码仓库,但发生了数据泄露。AWS并没有被侵入,但攻击者搞到了 Code Spaces 合法账号口令。最终,他们销毁了所有客户的数据,对 Code Spaces 影响巨大,直接导致其停业。


Skyhigh的调查凸显出:越来越多的定制App,正作为向IaaS迁移的一部分,在公共云内被使用。


Skyhigh首席欧洲发言人奈杰尔·霍索恩解释道:“很多公司都不重视定制应用安全。但如今,每家公司都是软件公司;92%的公司开发自有定制App,普通企业在明年将运行有超过500个的App。而且,72%的公司当下就有对运营至关重要的定制App。当这些工作负载被网络攻击盯上,或者成为误操作的受害者,停工时间就将对业务造成重创。应用创新优先于安全很正常,但是,在平均285个定制App在IT安全团队视线之外的情况下,公司必须确保IT安全成为定制App开发过程中的一部分。”


取决于公司规模,安全团队不知道的App的实际数量各有不同。员工数少于1,000的小公司,可能只有22个定制App;但超过50,000员工的大公司,平均App数量可达788个。正是这大量的不可见App,导致了安全问题。65%的受访者称他们对云端定制App有着适度的关注或非常关心,仅13.8%称“完全不关心”。




报告称:“IT安全人员只注意到IT管理员所知应用中的38.4%。这意味着IT安全团队仅参与进不到一半的应用安全维护中以确保公司数据不受威胁侵害。这似乎不是安全成为开发的障碍,而是开发在安全缺席的情况进行了。”


最大的问题(66.5%的受访者)是,未受保护的App可被用于上传敏感数据到云端。位列第二的顾虑(56%),是与 Code Spaces 类似的第三方账户数据泄露。另有40.1%的受访者担心敏感数据被从云端下载到非托管BYOD设备。


个人数据泄露在数据保护条例下可能让公司损失惨重,并对品牌声誉造成破坏;但某些定制App确实实实在在对业务运营起到关键作用的。近73%的受访者称,他们至少有1个业务关键应用。其中46%要么完全部署在公共云,要么在混合云里——IT安全人员完全看不到他们的部署和运营。随着向IaaS的迁移继续进行,暴露在风险之中的业务关键定制App数量无疑也会上升。


“保护云端敏感数据不再是某一方的职责,这是个共同责任。”霍索恩说,“IaaS的快速采纳,见证了基础设施提供者和企业间的角色割裂,而在内部,企业不能指望IT独力管理云安全。必须让所有部门都参与进来,确保定制应用从一开始就嵌入了网络安全,且员工一直以不会将公司数据置于风险之中的方式使用这些应用。”


上周,Skyhigh Networks 产品和市场营销高级副总裁卡马尔·萨哈,在博客文章中宣布:“Skyhigh将以 Skyhigh for Custom Apps、 Skyhigh for Amazon Web Services、 Skyhigh for Microsoft Azure 及 Skyhigh for Google Cloud Platform 几款产品,领跑云安全市场下一阶段。”


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存