而云计算对于组织是否更安全,也存在不一致的观点。云计算安全性与传统内部部署数据中心的安全性之间的最大区别在于共享责任模型。AWS、微软、谷歌等主要云计算提供商已经投入大量资金来应对新出现的安全威胁。它们还提供广泛的身份和访问管理(IAM)基础设施,但企业仍然需要尽其所能保障其安全。
安全软件提供商XYPRO Technology公司首席产品官Steve Tcherchian表示,“企业将其应用程序迁移到云端,并不意味着可以将网络安全责任转移到云计算提供商身上”。
企业需要将相同的策略、控制和监控部署到任何云计算基础设施,以确保一切都得到适当的保护。然而,企业仍有责任确保云安全优秀实践,否则它将与没有采用保护措施的本地环境一样不安全。
IT Harvest公司首席研究分析师、《安全云转型:首席信息官之旅》一书的作者Richard Stiennon说,“云计算提供商在某些领域本质上更安全。”这其中包括分布式拒绝服务(DDoS)攻击、更简单的配置管理、SaaS服务的自动安全更新,以及整合的安全日志记录和访问管理。
例如,对托管在云计算网络上的服务器进行DDoS攻击要困难得多,因为云计算网络通常拥有数百千兆位的容量,并且不容易被泛滥的数据淹没。云计算配置也比内部部署配置更加标准化,这也是一种简化,使保护它们更容易。Stiennon相信使用新的安全方法(比如零信任网络)可以应对对于云计算的机会性攻击。
安全性仍然是云计算应用的首要考虑因素。总的来说,Stiennon认为对于云计算攻击的危害比本地攻击要小得多。在云端,其攻击通常仅限于一个配置错误的服务,而最近的勒索软件攻击证明,本地攻击可以影响整个基础设施。迄今为止报告的大多数云计算漏洞都是错误配置的S3存储桶,而这些存储桶通常是由研究人员而不是攻击者发现的。Stienon说,利用云计算提供商的后端可能会泄露数十亿条记录,这证明了分层防御的重要性。
Stiennon发现的较大的安全问题是由于企业没有利用云计算提供商的配置、日志记录和安全工具。另一个挑战来自于通过托管云中的部分基础设施来实现安全性,同时维护旧数据中心中的关键组件,例如DNS、加密密钥和Active Directory。
实践中降低云计算安全性
尽管公共云具有安全优势,但最近的证据表明,实际上,云计算的安全性稍差。安全供应商Riskrecon公司的一份报告发现,60%的组织在其云计算服务中的严重漏洞比在其内部部署系统还要多。
XYPRO Technology公司首席产品官Steve Tcherchian表示,网络攻击是一种机会犯罪,因此无论应用程序位于何处,都可能受到攻击。
但是,其漏洞并不是均匀分布的。据该报告称,在AWS和Microsoft Azure上运行工作负载的企业在云中的关键漏洞明显少于本地漏洞。