突然之间,所有人都成为了企业的安全专家,并宣称云是扼制安全威胁的唯一办法。然而,事情并非想象的那么简单。
我已经没有在写关于数据泄露事件的文章了。一方面是因为这样的文章现在到处都是。(这篇文章的重点是给正迁移到,或已经迁移到云端的企业一些建议。)另一方面是因为,大肆报道数据泄露事件,对那些已经沉浸在悲伤中的人来说无疑是雪上加霜。
然而,由于受到近日Equifax数据泄露事件的影响,上云企业一直担心自己会遇到类似情况。
对此次Equifax数据泄露事件,我们所知道的是,在Equifax宣布黑客已经获取访问权限前,它就充分的了解到了这一情况。黑客窃取了1.43亿用户的社会保险号、出生日期和个人住址,而拥有这些数据就足够窃取你的身份了。几个Equifax的员工辞职了,但事情并没有得到解决。
如同过去几年时间中发生的其他重大数据泄露事件,一个工具出卖了Equifax:Apache Struts项目中一个未打补丁的漏洞在过去被用来支持网上一个颇具争议的门户网站,然而,黑客却利用这个漏洞访问Equifax的网站和附加数据。
那么,这种情况会发生在云中吗?答案是不太可能,考虑到云供应商对待补丁问题更加积极,并且相比典型的本地IT部门,它们会修复的更加频繁,尤其是当涉及到安全问题时。
然而,无论云供应商和咨询者或新闻媒体吹嘘云是多么的安全,上云并不意味着你对数据泄露就是完全免疫的。举例来说,在单租户环境中,云用户本身就可能会犯重大错误(比如在主机中),因此运行在公有云上的应用程序对数据泄露并不是完全免疫的。
在云端部署比在本地更加安全,但是你要是认为云是非常安全的那就太傻了,你会因自满而面临危险,结果就是,你会犯错误并陷入麻烦中。
供应商、咨询者和新闻媒体对此次Equifax数据泄露事件很多说法,但事实上,他们并不知道Equifax到底发生了什么,或者根本对企业安全就了解得不多——尽管他们宣称他们本可以做得更好。千万不要听这些人的话。
要专注于那些已知的事,并从他人的失败中吸取教训——注意不要说教。因为有一天,你也有可能会忽视补丁,或犯下为他人所利用的错误——不管是在本地上还是在云端。