Khi đám mây tăng lên để bao gồm nhiều ứng dụng, dữ liệu và quy trình của công ty hơn, người dùng cuối cũng có tiềm năng thuê ngoài bảo mật của họ cho các nhà cung cấp.
Một cuộc khảo sát trong ngành cho thấy nhu cầu kiểm soát an ninh và không chuyển giao trách nhiệm cuối cùng cho các nhà cung cấp dịch vụ đám mây đang diễn ra trong nhiều doanh nghiệp. Liên minh bảo mật đám mây, đã phát hành cuộc khảo sát với 241 chuyên gia trong ngành, đã xác định được vấn đề bảo mật đám mây “Nghiêm trọng 11”.
Các tác giả của cuộc khảo sát chỉ ra rằng nhiều vấn đề cấp bách nhất của năm nay đặt vấn đề bảo mật lên các công ty người dùng cuối thay vì phụ thuộc vào các nhà cung cấp dịch vụ. “Chúng tôi nhận thấy sự sụt giảm xếp hạng các vấn đề bảo mật đám mây truyền thống thuộc trách nhiệm của các nhà cung cấp dịch vụ đám mây. Các mối quan tâm như từ chối dịch vụ, lỗ hổng công nghệ chia sẻ, mất dữ liệu CSP và lỗ hổng hệ thống – tất cả đều có trong ‘Treacherous 12’ trước đó – hiện được đánh giá thấp đến mức chúng đã bị loại trừ trong báo cáo này. Những thiếu sót này cho thấy rằng các vấn đề an ninh truyền thống thuộc trách nhiệm của CSP dường như ít được quan tâm hơn. Thay vào đó, chúng tôi thấy cần phải giải quyết các vấn đề bảo mật nhiều hơn được đặt ở vị trí cao hơn trong nền tảng công nghệ, là kết quả của các quyết định của quản lý cấp cao. “
Điều này phù hợp với một cuộc khảo sát khác gần đây từ Forbes Insights và VMware, cho thấy rằng các công ty chủ động đang chống lại sự cám dỗ chuyển giao bảo mật cho các nhà cung cấp đám mây của họ – chỉ 31% các nhà lãnh đạo báo cáo đã chuyển giao nhiều biện pháp bảo mật cho các nhà cung cấp đám mây. (Tôi đã giúp thiết kế và viết báo cáo khảo sát.) Tuy nhiên, 94% đang sử dụng các dịch vụ đám mây cho một số khía cạnh bảo mật.
Báo cáo mới nhất của CSA nêu bật những mối quan tâm hàng đầu của năm nay:
1. Vi phạm dữ liệu. “Dữ liệu đang trở thành mục tiêu chính của các cuộc tấn công mạng”, các tác giả của báo cáo chỉ ra. “Việc xác định giá trị kinh doanh của dữ liệu và tác động của việc mất dữ liệu là điều cần thiết quan trọng đối với các tổ chức sở hữu hoặc xử lý dữ liệu.” Ngoài ra, “việc bảo vệ dữ liệu đang phát triển thành một câu hỏi về việc ai có quyền truy cập vào nó”, họ nói thêm. “Các kỹ thuật mã hóa có thể giúp bảo vệ dữ liệu, nhưng lại tác động tiêu cực đến hiệu suất hệ thống đồng thời làm cho các ứng dụng trở nên kém thân thiện hơn với người dùng.”
2. Cấu hình sai và kiểm soát thay đổi không đầy đủ. “Các tài nguyên dựa trên đám mây rất phức tạp và năng động, khiến chúng trở nên khó định cấu hình. Các biện pháp kiểm soát và quản lý thay đổi truyền thống không hiệu quả trên đám mây.” Các tác giả nêu rõ “các công ty nên áp dụng tự động hóa và sử dụng các công nghệ quét liên tục để tìm các tài nguyên được định cấu hình sai và khắc phục sự cố trong thời gian thực.”
3. Thiếu chiến lược và kiến trúc bảo mật đám mây. “Đảm bảo kiến trúc bảo mật phù hợp với mục tiêu và mục tiêu kinh doanh. Phát triển và triển khai khung kiến trúc bảo mật.”
4. Không đủ danh tính, thông tin xác thực, quyền truy cập và quản lý khóa. “Tài khoản an toàn, bao gồm xác thực hai yếu tố và sử dụng hạn chế tài khoản gốc. Thực hành kiểm soát nhận dạng và truy cập chặt chẽ nhất cho người dùng và danh tính trên đám mây.”
5. Chiếm đoạt tài khoản. Đây là một mối đe dọa cần phải được xem xét một cách nghiêm túc. “Các biện pháp phòng thủ chuyên sâu và các biện pháp kiểm soát IAM là chìa khóa giúp giảm thiểu việc chiếm đoạt tài khoản.”
6. Mối đe dọa nội gián. “Thực hiện các biện pháp để giảm thiểu sơ suất của nội gián có thể giúp giảm thiểu hậu quả của các mối đe dọa từ nội gián. Đào tạo cho các nhóm bảo mật của bạn để cài đặt, cấu hình và giám sát đúng cách các hệ thống máy tính, mạng, thiết bị di động và thiết bị sao lưu của bạn.” Các tác giả của CSA cũng khuyến khích “nâng cao nhận thức đào tạo nhân viên thường xuyên. Cung cấp đào tạo cho nhân viên thường xuyên của bạn để thông báo cho họ cách xử lý các rủi ro bảo mật, chẳng hạn như lừa đảo và bảo vệ dữ liệu công ty mà họ mang ra bên ngoài công ty trên máy tính xách tay và thiết bị di động.”
7. Giao diện và API không an toàn. “Thực hành tốt vệ sinh API. Thực hành tốt bao gồm giám sát cẩn thận các hạng mục như kiểm kê, thử nghiệm, kiểm tra và bảo vệ hoạt động bất thường.” Ngoài ra, “hãy cân nhắc sử dụng các khuôn khổ API tiêu chuẩn và mở (ví dụ: Giao diện Điện toán Đám mây Mở (OCCI) và Giao diện Quản lý Cơ sở Hạ tầng Đám mây (CIMI)).”
8. Máy bay điều khiển yếu. “Khách hàng đám mây nên thực hiện thẩm định và xác định xem dịch vụ đám mây mà họ định sử dụng có sở hữu một mặt phẳng kiểm soát thích hợp hay không.”
9. Các hư hỏng về cơ cấu và kết cấu thiết bị. “Các nhà cung cấp dịch vụ đám mây phải cung cấp khả năng hiển thị và đưa ra các biện pháp giảm thiểu để chống lại sự thiếu minh bạch vốn có của đám mây đối với người thuê. Tất cả các CSP phải tiến hành thử nghiệm thâm nhập và cung cấp phát hiện cho khách hàng.”
10. Khả năng hiển thị sử dụng đám mây hạn chế. “Giảm thiểu rủi ro bắt đầu bằng việc phát triển nỗ lực toàn diện về khả năng hiển thị đám mây từ trên xuống. Bắt buộc đào tạo toàn công ty về các chính sách sử dụng đám mây được chấp nhận và việc thực thi chính sách đó. Tất cả các dịch vụ đám mây không được phê duyệt phải được kiến trúc sư bảo mật đám mây hoặc bên thứ ba xem xét và phê duyệt quản lý rủi ro.”
11. Lạm dụng và sử dụng bất chính các dịch vụ đám mây. “Các doanh nghiệp nên giám sát nhân viên của họ trên đám mây, vì các cơ chế truyền thống không thể giảm thiểu rủi ro do sử dụng dịch vụ đám mây.”
