虽然自早期采用云技术以来,云安全确实取得了长足的进步,但事实是,当今大多数组织在真正成熟其云安全实践之前还有很长的路要走。这给组织带来了巨大的安全事故损失。研究表明,去年组织遭受的近一半数据泄露源自云端。该研究还发现,去年,平均每个组织因云端数据泄露损失近410万美元。
1.仅仅使用云端并不会提高安全性
人们对云计算存在一个根本性的误解,认为云计算本身就具有更高的安全性,以为只要使用云计算,就能更加安全。问题在于,虽然超大规模云提供商可能非常擅长保护基础设施,但他们对客户安全态势的控制和责任非常有限。
很多人认为他们把安全外包给了云提供商,就等于转移了风险。在网络安全方面,我们永远无法转移风险。如果你是数据的保管人,那么无论谁为你保管数据,你永远都是数据的保管人。
2.在混合世界中,本机安全控制难以管理
虽然许多供应商在为客户提供对其工作负载、身份和可见性的更多控制方面做得很好,但质量并不一致。有些供应商做得好,有些则不好。所有这些供应商的真正问题是,除了单个供应商环境的隔离之外,它们在现实世界中很难管理。
这需要很多人来做,而且每个云平台的人员都不一样。解决这个问题的唯一方法是拥有一个可以跨所有多个云平台进行管理的安全控制。这是推动将零信任转移到云端的讨论的重要因素之一。无论将数据或资产放在哪里,零信任都能发挥作用,它可能在云端,也可能在本地,甚至可能在终端上。
3.身份管理无法拯救云
由于过于重视云身份管理,而对零信任中的身份组件给予了过多的关注,因此组织必须了解,身份只是云中零信任的一部分。
零信任的叙述很大程度上是关于身份、身份、身份的。身份很重要,但我们在零信任的政策中使用身份。这不是万能的。它不能解决所有问题。
在零信任模型中,凭证不会自动授予用户访问给定云或网络内任何内容的权限。该策略精确限制了授予特定资产访问权限的内容和时间。通过策略定义零信任访问的核心是将事物划分为“保护面”,因为访问每个保护面的不同类型用户的风险级别将定义将附加到任何给定凭证的策略。
4.太多组织不知道自己在保护什么
当组织决定如何在云中划分保护面时,他们首先需要明确定义他们试图保护的是什么。这一点至关重要,因为每项资产、系统或流程都有其独特的风险,这将决定访问策略和强化措施。
事实上,当今大多数组织甚至不一定清楚云中有什么或什么连接到云,更不用说需要保护什么了。例如,研究表明,只有23%的组织对云环境有完全的了解。
人们没有考虑他们实际上想要完成什么,他们想要保护什么。这是一个根本性问题,导致组织在没有在此过程中适当设置保护措施的情况下浪费了大量安全资金。
5.云原生开发激励机制失衡
云平台和工具提供的速度、可扩展性和灵活性极大地增强了DevOps实践和云原生开发。当安全性适当地融入其中时,就会产生好的结果。大多数开发组织没有得到适当的激励来实现这一点,这意味着云基础设施和所有基于它的应用在此过程中都面临风险。
这说明了在向云及其他领域转向零信任方面也存在问题。太多组织根本没有正确的激励机制来实现这一目标,事实上,许多组织都有不正当的激励机制,最终鼓励了不安全的做法。