随着云计算技术的发展,上云已经成为企业数字化转型的必选项。面对不同的业务需求,同时为了数据保护、监管等要求,大部分企业都会选择多云架构,这就使得企业内部的云架构变得越来越复杂,管理难度也越来越大。随之而来,第三方风险正在让企业的云安全管理变得举步维艰。
根据IDC 近期发布的一份市场预测表明,亚太地区的公有云服务市场总值将于 2026 年达到 1536 亿美元,该数字十分惊人,因而各公司面临填补其云基础架构缺口的压力。尤其是第三方风险可能对企业构成实质性威胁。
不难发现,亚太地区即是公有云服务的重要市场,又是安全风险防御最高的战场。笔者认为,面对未来存在的不确定巨大安全挑战,以及第三方风险的不断增加,企业必须重新审视面临的安全隐患,构建更加稳健的安全防御系统,才能确保云中业务和数据的绝对安全。
第三方风险正在威胁企业的云安全管理
企业在完成云架构转型之后,云服务提供商、供应商、合作伙伴等都成为业务生态系统中最基本组成部分,这就意味着企业面临着来自于更多方面的安全风险。
众所周知,企业在本地构建的数据中心往往都有着比较明确的网络边界,并通过实施安全控制措施(如防火墙)来保护这些边界。上云之后,由于基础设施是分布式的,很多业务和数据会存储在公共基础设施之上,这就意味着企业不可能完全实现安全控制,存在的安全风险也就更高。
根据IBM《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本上升至445万美元,达到历史新高,比2022年的435万美元增加了2.3%,比2020年的386万美元增加了15.3%。其中,67%的数据泄露事件是由良性第三方或攻击者自己报告的。
Akamai 云计算产品线首席技术官 Jay Jenkins
“尽管绝大多数亚太地区 (APAC) 企业将云视为其战略的关键,但许多企业发现自己成了数据丢失以及从恶意软件到分布式拒绝服务等各种网络攻击的受害者。” Akamai 云计算产品线首席技术官 Jay Jenkins表示,随着攻击者获得的信息越来越敏感,可能会让个人客户面临威胁。公司需要警惕各类不同程度的威胁,无论是窃取高级客户信息、姓名和地址,还是财务信息,都需警惕被窃。
对于现代化企业而言,虽然供应链存在着固有的安全风险,但它也是企业成功的关键要素,因此关闭第三方运营就等于关闭企业运营。与此同时,由于现代化企业的安全策略要求安全团队必须实现从安全监督者向业务推动者的角色转变,这就意味着IT管理者需要在不降低业务性能,保证企业生产力的情况下保障安全性。对IT管理者而言,克服第三方业务与安全的困境极具挑战性。
“迁移到云端的小型企业不一定会成为黑客攻击的目标。然而,对于较大型云端企业来说,软件本身可能会成为攻击的目标。仅仅是使用这些服务,可能就会让企业在不知不觉中面临潜在攻击。 ” Jay Jenkins认为,当涉及到云使用方面的内部治理时,理想情况下,团队应该有安全着陆区,以帮助他们在云中保持安全。将安全机制引入实际的软件供应链,确保从一开始就安全无虞,而不是事后才考虑安全问题和抵御攻击者,这对于攻击防御来说意义重大。
重构稳健系统成为防范潜在威胁的关键要素
大型企业和小型企业可以采取哪些措施来管理云环境并避免遭受网络攻击呢?笔者认为,要克服这些挑战,企业首先必须放弃传统安全思维模式下运营模式,重头构建稳健的安全防御系统,才能阻止任何风险或威胁,赋能业务可持续发展。
对于现代安全防御体系的构建,Jay Jenkins也给出了三条实用建设。其一,要熟悉第三方供应商认证。查看他们的安全认证,了解认证所代表的含义,并进行实际审查,这有助于发现其安全态势方面存在的任何不一致情况。
其二,安全认证通常会附带一个特定的服务列表。公司必须开展尽职调查,并了解他们可能使用哪些服务以及这些认证涵盖其中的哪些服务。建议各公司对这些服务自行开展渗透测试。公司还需要了解自己在这些领域以及对于第三方供应商的风险偏好。
其三,对于仍依赖防火墙等技术的企业来说,选择使用基于服务的网络可能会增强安全性、提高服务质量并优化系统。企业应评估此类网络的相关优势和风险,并确保网络与企业的整体业务和技术目标相一致。
其中,从基于机器的安全转向基于服务的安全后,不论在第三方还是云端,公司都需要了解端点,包括不同的应用程序编程接口 (API),以及这些服务的托管位置。
Jay Jenkins强调,API 是现代软件开发的重要组成部分,且越来越多地被众多企业所采用。它们是不同系统之间彼此通信以及共享数据和功能的“桥梁”。但是,正如计算领域的其他方面一样,API 安全保护也是企业非常关注的一个问题。
“虽然亚太地区的企业确实也认识到,提高安全性对于推动积极的业务成果至关重要,但找到合适的合作伙伴来提供一系列嵌入不同安全和深度防御层的产品和服务,这将成为应对不断演变的威胁形势的关键所在。” Jay Jenkins如是说。
