云安全責任共擔往往意味著無人承擔
責編:gltian |2022-06-02 11:42:26對于沒有明確責任的團體來說,“共擔”或“共同”責任往往意味著,每個人都認為有其他人在解決問題,但實際上誰也沒有去做。最終出現工作被耽誤,或是出了事情沒人負責的局面。
責任共擔模型和云服務提供商
云服務的“共享責任”模型是這樣的:云提供商保護低于某個級別(該級別通常是他們的軟件)的所有事情,并對其安全性負責。把這個級別當做房子的地基的話,作為云租戶的責任是保護地基上的一切,即房子。
這種看似非常清晰的界限,其實經不起檢驗。因為沒有任何一條簡單的線可以把地基和房子分開。地基是和房子連在一起的,兩者之間的互連結構屬于房子完整性的一部分。如同云平臺及其上面運行的應用程序。
云錯誤配置和工具的復雜化
真實的情況是,客戶如何配置云服務決定著應用程序的安全性。比如,是否公開了Lambda函數(無服務器的核心組件)?Lake Formation(AWS上構建數據湖的服務)的訪問控制啟用了嗎?AzureSqlDBServer(微軟云數據庫)上的高級數據安全選項打開了嗎?GCP(谷歌云)云函數是否具備了公共調用權限?在CDN網絡中,往往有很多人忘記隱藏源站域名。整合SaaS應用時,API可被任意用戶調用,而不是專有用戶。
客戶在云上的安全遠不只是上述的問題,因此好的云平臺會投入大量精力來盡量減少這些疏忽,避免不安全的默認設置。但沒有一家云提供商能夠完美地提供所有的云服務,也不是所有的云平臺都能保證其系統的使用安全。更加糟糕的是,這些云提供商不會主動告知客戶各種不安全的配置選擇,尤其是他們在這方面做得特別差的話。
具有諷刺意味的是,為客戶提供最多安全服務的云平臺往往在使用這些服務時造成了最大的復雜性。每個工具包都需要大量的知識來正確使用它,以至于出現了專門提供正確配置云服務的企業。也許,是時候采用第三方風險管理流程了。
來源:數世咨詢