研究表示云中21%的文件包括敏感数据

全世界知名的信息安全厂商McAfee公司日前发布了云采取和风险报告，该报告分析了匿名客户在云平台运行所遭受的数10亿个安全事件，以评估云计算部署确当前状态，并发现风险。该报告显示，云中近4分之一的数据可归类为敏感数据，如果数据被盗或泄漏，组织将面对风险。

　　云中的数据这个研究发现，虽然组织积极采取公共云为其客户创建新的数字体验，但通常每一个企业的基础设施即服务(IaaS)和平台即服务(PAAS)每个月遭受2,200屡次毛病配置事件。

　　云计算服务提供商主要关心云平台本身的安全性，而不是客户数据或客户对其基础设施和平台的使用。组织始终负责保护他们无处不在的数据，因此突出需要部署逾越全部云平台范围的云安全解决方案，从SaaS(软件即服务)到基础设施即服务(IaaS)和平台即服务(PaaS)。

　　McAfee公司云计算安全业务高级副总裁Rajiv Gupta表示，“在云中运营业务已成为组织的新常态，以致于企业员工在云中存储和同享敏感数据时没有谨慎斟酌。SaaS云服务中的意外同享、协作毛病、IaaS/PaaS云服务中的配置毛病和要挟都在增加。为了继续加速业务发展，企业需要采取云原生并且没有不良作用的方式延续保护其数据，并防御各种SaaS、IaaS和PaaS中的要挟。”

　　云协作是一种祝愿也是一种诅咒云计算服务经过快捷扩大的能力为组织业务发展提供了一个重要的机会，使企业能够灵活地利用其资源，并提供新的协作机会。像Box这样的云计算服务和Office 365等生产力套件用于提高协作的活动性和行之有效的性。但是，协作意味着同享，不受控制的同享可能会暴露敏感数据。调查结果表示：

　　22%的云计算用户在外部同享文件，同期增长21%。

　　经过开放、可公然访问的链接同享敏感数据，同期增长了23%。

　　发送到个人电子邮件地址的敏感数据也同期增长12%。

　　为了保护云存储、文件同享和协作利用程序中的敏感数据，组织必须首先了解其正在使用的云服务，保存其敏感数据，和如何同享这些数据和与谁同享。一旦组织取得了这类可见性，他们就能够履行适当的安全策略，制止将高度敏感的数据存储在未经批准的云服务中，并提供防护措施，避免不合规地同享来自取得批准的云计算服务的敏感数据，例如与个人电子邮件同享数据时地址或经过公然的公共链接。

　　IaaS和毛病配置的风险使用SaaS，保护数据、用户身份和数据访问主要是客户的责任。经过IaaS，客户可以承当更大的安全责任，其中包括数据、身份、访问、利用程序、网络控制和主机基础设施。虽然这为客户提供了更好地控制其云计算基础设施的机会，但它也增加了组织的安全风险表面积和他们对此的责任。IaaS提供商(如AWS)提供多种基础设施和平台服务，每种服务都具有深入而复杂的安全设置。放大IaaS/PaaS安全挑战的事实是，组织使用多个IaaS/PaaS供应商的服务运行每一个供应商产品的多个实例。McAfee公司的调查研究发现：

　　使用IaaS/PaaS服务中，94%采取的是AWS公司的云平台，但使用IaaS/PaaS的组织中，78%的企业同时具有AWS和Azure的云平台。

　　企业平均每次运行14个配置毛病的IaaS /PaaS实例，致使每个月产生2,200多个单独的配置毛病事件。

　　5分之一的AWS S3存储桶具有全局读取权限，使其对公众开放。

　　McAfee公司建议，组织需要不断审核和监控其AWS、微软Azure、谷歌云平台和其他IaaS /PaaS配置，同时保护存储在IaaS/PaaS平台中的数据。作为本地数据中心的替换方案，IaaS /PaaS的使用量正在快速增长。在遭受安全事件之前，企业需要尽到他们的安全责任，采取数据保护和要挟防御措施，就像他们对SaaS云计算服务和IaaS/PaaS云计算服务的配置合规性和安全保护工作负载一样。

　　云计算要挟将会延续增长用户帐户和企业内部遭受的要挟企业在云中数据的大多数要挟都来自受损帐户和内部要挟。平均每月在云中产生超过32亿个安全事件。另外：

　　云中的要挟事件(如受感染的帐户、特权用户或内部要挟)同期增长27.7%。

　　80%的组织每个月最少经历一次遭到破坏的帐户要挟。

　　在Dark Web上92%的企业盗取了云计算凭证。

　　Office 365中的要挟同期增长了63%。

　　企业为了应对组合帐户和内部要挟，应当了解如何使用云计算服务。它们还应辨认异常行动，例犹如一用户同时从不同位置访问云平台时，这可能表示帐户遭到要挟。

　　作为保护云中数据的第一步，应实行云计算访问安全代理(CASB)。云计算访问安全代理(CASB)是云原生服务，可为云服务实行安全性、合规性和治理策略。它们可以帮助组织在适当的情形下利用和扩大现有的安全控制，并在适当的时候定义内涵和部署新的云本地安全控制，以使企业能够始终如一地保护其数据并防御SaaS、IaaS和PaaS中的各种要挟。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。