云安全联盟：云安全不能指望云提供商

越来越多的企业应用、数据和过程迁移到云端，最终用户也越来越倾向于将自己的安全外包给云提供商。 

行业调查表明，很多企业都认为需要自己掌控安全，而不是将最终责任交托给云提供商。咨询了241位行业专家后，云安全联盟（CSA）在其调查报告“Egregious 11”中列出了11个重大云安全问题。 

这份调查报告的编撰者指出，今年很多紧迫问题的安全责任都推到了最终用户公司身上，而不是依赖服务提供商解决。“我们注意到，云服务提供商负责的传统云安全问题的排名有所下降。上一份‘Treacherous 12’报告中出现的问题，例如拒绝服务、共享技术漏洞、云服务提供商（CSP）数据丢失和系统漏洞等，现在的排名都低到直接排除在本次报告之外了。这些问题的缺席表明，由CSP负责的传统安全问题似乎不再那么令人担忧。与之相反，高级管理层决策导致的安全问题，也就是技术栈更高层次上的的安全问题，则更有待我们解决。” 

CSA的研究结果与Forbes Insights和VMware最近的另一项调查结果相符：积极主动的公司纷纷忍住将安全托付给云提供商的诱惑——仅31%的主管将很多安全措施交托给云提供商。但仍然有94%的受访者采用云服务来处理某些安全事务。  

最新的CSA报告凸显了今年的主要问题

1. 数据泄露。“网络攻击的主要目标逐渐指向数据。对拥有数据或处理数据的企业而言，确定数据的商业价值和数据丢失的影响至关重要。此外，数据保护正演变成谁有权访问数据的问题。加密技术有助于保护数据，但会对系统性能造成不利影响，同时还会降低应用的易用性。” 

2. 错误配置和变更控制不足。“云资源不仅相当复杂，而且高度动态，因而配置难度颇高。在云环境中，传统的控制措施和变更管理方法不再有效。公司应积极实现自动化，采用各项技术持续扫描资源错误配置情况并实时修复问题。”

3. 缺乏云安全架构和策略。“确保安全架构符合业务目标。开发并实现安全架构框架。” 

4. 缺乏身份、凭证、权限和密钥管理。“采用双因素身份验证和限制使用root账户等方式保护账户安全。对云用户和云身份采取最严格的身份和访问控制措施。” 

5. 账户劫持。这是个必须严阵以待的威胁。“深度防御和身份与访问管理（IAM）控制措施是缓解账户劫持的关键。”

6. 内部人威胁。“采取措施尽可能地减少内部疏忽有助于缓解内部人威胁造成的影响。为公司安全团队提供培训，使其掌握正确安装、配置和监测计算机系统、网络、移动设备和备份设备的技能。此外，普通员工也需要进行安全意识培训，要教会他们如何处理安全风险，比如怎样应对网络钓鱼，以及如何保护他们存在笔记本电脑和手机上带出公司的企业数据。”

7. 不安全的接口和API。“保持良好的API安全状态。在这方面，可采取的良好实践包括尽职监督库存、测试、审计和异常活动防护等项目。此外，不妨考虑采用标准的开放API框架（例如，开放云计算接口（OCCI）和云基础设施管理接口（CIMI））。” 

8. 弱控制平面。“云客户应该进行尽职调查，确定自己打算使用的云服务是否拥有足够的控制平面。”

9. 元结构和应用结构故障。“云服务提供商必须提供可见性并公开缓解措施，从而消解云计算固有的租户透明度缺乏问题。所有云服务提供商都应执行渗透测试并向客户提供测试结果。” 

10. 云使用可见性有限。“风险缓解始于自上而下的完整云可见性。要求在全公司范围内就公认的云使用策略及其实施进行培训。所有未核准云服务必须经过云安全架构师或第三方风险管理人员的审核和批准。” 

11. 云服务滥用及恶意使用。“企业应监控其云端员工行为，因为传统机制无法缓解云服务使用带来的风险。”