前段时间一位名叫“张中南”的网络安全爱好者爆料,由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成40家以上企业的200多个项目代码泄露。2019开年以来最大的网络安全事件就此出现,其实近些年随着云计算的发展,越来越多的安全问题作为新闻被报道,无论是用户还是非行业人士,都感觉云安全问题频发,似乎云计算的安全性并没有宣传的那么好。其实这中间存在很多问题,本文我们来聊聊关于云安全的问题。
越来越频繁的安全问题
从去年开始我们在媒体报道中看到诸多云安全事件
4月6日,微软Office365 和 Azure Active Directory访问出现问题……
6月15日,因重复分配内部IP地址,谷歌云虚拟机实例大量出现联不上网的问题。
6月27日,阿里云出现运维失误,导致一些客户访问阿里云官网控制台和使用部分产品功能出现问题。受影响范围包括阿里云官网控制台,以及MQ、NAS、OSS等产品功能。据悉这次故障被阿里云内部定义为S1级别(在阿里巴巴的线上业务故障级别中,对S1的定义是:核心业务重要功能不可用,影响部分用户,造成一定损失)。
7月24日,腾讯云广州区域部分用户出现资源访问失败、控制台登录异常等情况。经排查,是因腾讯云广州一区的主备两条运营商网络链路同时中断所导致。实际上主备两条运营商网络链路同时被挖断并不常见。
8月5日,“前沿数控技术”控诉腾讯云丢失用户数据,导致平台业务全部停运,融资计划停止,损失巨大,之后腾讯出面回应,提出补偿方案,但是与用户提出的“千万赔偿”相去甚远,双方未达成一致。
加上刚刚过去没多久的阿里云源代码泄露问题,看起来云计算事故频发,云上的安全并非他们宣扬的那么可靠。但是这些事故发生的频率如果和近些年来世界云计算发展的速度相比一下,就会发现并不是云计算越来越不安全,而是使用云计算的用户增长太快了。
从2006年亚马逊推出云计算服务至今,世界云计算市场的规模一直保持着高速的增长,甚至国内云计算市场的增长速度超过了100%,这样的增长速度带来了庞大的用户群,云计算的普及率大大提升,这就使得原本发生概率极低的安全事件似乎大规模爆发了。
应对的措施
建立完全可见性
组织有机地开发、获取和采用必须与遗留系统集成的新工具,并与不同的供应商和合作伙伴建立新的关系。在本地服务器和多个外部云计算服务之间传播数据,这并不罕见。日益增加的复杂性使得难以保持全局视图。
培训员工
绝大多数数据泄露事件都能追溯到人为错误,无论是错误配置、访问控制不良、网络钓鱼攻击还是简单错误。这就是适当的安全意识培训如此重要的原因。为企业员工提供所需的信息和技能,以降低恶意软件或未经授权的访问风险,并确保及时报告潜在事件。
尽早包含安全性
对于任何试图保护云计算平台的人来说,部分问题在于他们通常会将安全性改造为在设计时很少考虑的系统。负责安全的人往往努力说服压力不足的团队改变他们的流程。部门之间的障碍可能导致怨恨和抵制。
持续监控
创建云计算的快照,并精确映射数据在任何给定时刻的位置只是基础,企业还需要不断警惕以应对产生的问题。数据应始终加密,应严格控制访问,监控流量,并尽快识别和修复漏洞。
定期测试
唯一可以确保企业内部和外部防御工作正常的方法就是测试。应该规划和实施定期测试程序,其中包括从渗透测试到模拟网络钓鱼攻击的所有内容。创建反馈循环并激发新兴威胁是确保企业的安全系统快速发展的最佳方法,但不要忘记将测试与可操作的补救建议联系起来,使企业的团队能够进行必要的更改。此外,不要忘记文档的安全。
长按二维码,关注我们
新睿云,让云服务触手可及
云主机|云存储|云数据库|云网络
1060
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
