卡巴斯基实验室表示,近一半使用云的企业不知道其数据是存储本地还是云端,从而埋下了一颗网络安全定时炸弹。
重点:
1. 42%使用云的企业对其数据存储在何处缺乏一个清楚的认识,这也就意味着它们不知道它是否是安全的——卡巴斯基,2017
2. 近一半的企业和中小型企业曾经遭受过来自第三方云主机的数据盗窃,并且他们中的大多数没有意识到这些提供商没有对此负责。
卡巴斯基一份最新的报告呼吁企业对一个日益严重的、名为“云动物园”的问题引起注意:一个企业IT部门深陷其中的数据沼泽。
因不清楚其数据位置和状态,或不能控制它的存在,企业越来越不能确定他们所面对的网络安全状况。42%的企业和36%的中小型企业表示并不知道他们的数据存储在何处,因此也就数据的完整性或安全状况没有清楚的认识。
随着78%的企业至少使用了一个云解决方案,云动物园问题受到了日益强烈的关注。因网上数字解决方案的采用比例攀升到了100%,企业需要准确地了解其每一位数据。
谁对云安全负责?
卡巴斯基指出,云增长已导致数据安全的负责人变得模糊不清:企业认为是其云供应商,但承包商经常又持有相反的看法。
卡巴斯基在报告中表示:“服务等级协议通常会指出,服务供应商只负责‘服务可用性’和云基础架构的‘安全’。这意味着,举例来说,影响云端数据的恶意软件或DDoS攻击由客户负责。”
由于第三方造成的云存储数据泄露,41%的企业和46%的中小型企业丢失过客户数据和员工信息——如果这些企业签订了与上述相类似的协议,那么就没有一个人应当对此负责。
报告指出,七成使用了云和SaaS的企业并没有应对上述安全事件的计划。这些企业中的甚至表示他们并没有检查其云合作伙伴的合规性凭证。
培训动物园管理员
如果卡巴斯基的数字准确的话,企业云就确确实实像一个动物园。但这并不意味着情况不能改善。
随着云安全对企业越来越重要,卡巴斯基为处理云安全性提出了几点建议。
• 执行一个云生态系统可视性计划,以了解文件存储在何处。清楚知道你所使用的所有服务,每一个服务的负责人,它们包括什么,以及它们的目的。
• 每一个你所使用的云系统,不管是混合的,托管的还是公有的,都应当有相应的安全措施,并且要像对待本地文件存储那样对待它们
• 针对供应商的数据泄露制定一个安全计划。问题并不在于它是否会发生,而是它会在什么时候发生。
• 实施一个可靠的访问控制策略,并且知道谁可以使用哪一个云服务。如果可以的话,将云服务放在一个密码管理平台上。用户只有在完成身份认证后,才能访问那个服务。
