企业将业务迁移到云平台,迫使首席信息官改变他们对安全性的看法。由于现在保护基础设施的大部分责任都外包给了云计算提供商,因此首席信息官需要更加关注云计算技术,以确保配置正确并且不会无意中泄露数据。
当首席信息官评估其企业运营是否存在漏洞时,有三个因素可能会增加无意中打开基础设施大门的可能性:
(1)推出新代码和新特性
首席信息官对开发人员交付新代码施加了多大的压力?当过度关注获取功能和代码时,开发人员可能会无意中导致配置漂移。例如,如果开发人员继续创建新的虚拟机(VM)测试新代码并手动配置将创造更多错误的机会。开发人员通常使用灵活的方法来避免在需要调整时获得管理员权限的耗时过程。
(2)增加应用程序的互联性
企业与第三方或应用程序组件之间的联系越多,配置错误的可能性就越大。API错误包括授权中断对象级别、用户级别和功能级别。
在企业的API过多的信息也可能为黑客提供线索来解决他们的代码。云原生容器应用程序也可能构成威胁,因为单个容器中的无意漏洞可能会使黑客访问企业的整个软件堆栈。
(3)云计算基础设施的复杂性
云计算架构的复杂性对错误配置的风险有很大的影响。单个租户的云环境风险有限,因为没有其他人在同一台机器上存储代码。企业需要注意的是确保其机器配置正确。在多租户的云环境中IT人员需要配置,以确保黑客不会在同一台机器上的虚拟机上运行代码,风险也会增加。当代码和数据存储和处理在不同的地方时,多云或混合云架构中的风险将呈指数级增长。为了协调这些部分,他们需要在整个网络上创建一个复杂的连接网络,以便为昂贵的错误提供更多的机会。
管理风险
为了最大限度地降低配置错误的风险,企业需要确保不断检查配置并识别错误。这可以通过多种方式完成:
- 在云计算架构简单、新功能压力小的系统中,定期人工检查可能就足够了。
- 随着堆栈变得更加紧密,复杂的人工过程无法扩展,开发人员可以构建自动脚本来检查常见和已知的配置问题。虽然这适用于复杂性和连接性有限的情况,但黑客可以在运行漏洞扫描工具之前使用它。
- 在配置错误的企业中,持续监控云配置可能是一种谨慎的做法。
许多迁移到云平台的企业现在正在寻求云安全状态管理(CSPM)解决方案可以提高安全性。虽然许多供应商提供的平台将继续监控他们的云平台是否有错误的配置,但这些解决方案通常不适用于多云或混合云架构。由于每个云平台以不同的方式实现事物并使用自己的术语,旨在监控多个云平台的第三方解决方案可能是一个更可行的选择。
无论企业选择如何保护自己免受云安全漏洞的影响,采用现代基础设施和更灵活的应用程序开发流程的企业都需要建立更现代的安全趋势。