2020年关于云安全应该注意什么？

来源 :计算机世界 | 被引量 : 0次 | 上传用户：syscom

【摘要】

：

【作者】

：

Marc Wilczek

【出处】

：

计算机世界

【发表日期】

：

2020年13期

下载到本地 , 更方便阅读

下载此文赞助VIP

声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架

论文部分内容阅读

　　當今世界正在全速进入数字化进程。为了征服数字世界，全球各地的公司都在尝试着通过重新振兴业务模型或从头开始构建新模型以保持竞争力。这些举措大部分都基于一个共同的基础：云计算。
　　实际上，在过去的十年中，云计算的使用出现了激增，并且这种增长在可以预见的范围内仍然没有停止的迹象。据多份行业报告显示，全球关于云计算的支出在2018年达到了2730亿美元，并可能在2025年超过6230亿美元。
　　云计算增长的原因很明确，主要是成本较低、灵活性更大且安全性更高。云技术为物理安全性带来了巨大提升。尽管这种提升超出了终端用户的期望或承受能力，但是安全性是服务商与用户双方共同的责任。换句话说，服务提供商负责监督云安全性，用户则负责自身在云端上的安全性，包括所存储和处理的数据的完整性以及与Web交互的所有应用程序和API的弹性。
　　大多数云程序包仅包含基本的安全性。如果不增加额外的安全保护，那么用户的整个IT价值链基本上就是一个个易受攻击的目标。由于越来越多的企业和用户数据驻留在云端，严格的IP访问策略可能会成为严重的制约瓶颈。如果云平台下线，那么整个游戏就结束了。

DDoS攻击导致服务瘫痪

　　这种可能性不仅仅存在于理论上。在2019年10月，亚马逊网络服务（AWS）遭受了长约八小时的严重DDoS攻击。期间，用户无法连接服务，因为AWS将其合法用户的查询也错误地分类为恶意行为。谷歌Cloud Platform大约在同一时间也遇到了许多麻烦，不过谷歌称这与DDoS无关。就在几周前，大量的DDoS攻击导致南非互联网服务提供商瘫痪了一整天，从而使得大量用户的互联网访问受到了影响。
　　实际上，在全球业务领域中，DDoS攻击是最大威胁之一。在欧洲刑警组织的《2019年网络有组织犯罪威胁评估》中，DDoS攻击也被认为是一个严重的问题。同样，美国国土安全部（DHS）也警告称，在过去的五年中，DDoS攻击的规模增长了十倍，并且“目前尚不清楚当前的网络基础设施是否能够承受未来的攻击，因为攻击规模还将继续扩大。”
　　世界经济论坛（WEF）指出，瘫痪一个云服务提供商可能会造成500～1200亿美元的经济损失，这一规模让人想起飓风桑迪和卡特里娜飓风之后的金融倒闭潮。

损坏的云服务

　　对损坏或受操纵的云服务器的攻击也在增加。例如，在数据泄露之后，不法分子经常会使用被盗的信用卡凭证创建伪造的云账户。
　　据Link11的2019年DDoS报告显示，在2019年上半年，涉及损坏的云服务器的DDoS攻击所占比例增加到51%。目前最大的已知攻击峰值是724 Gbps。由于许多大型企业使用的互联网连接为10 Gbps或1 Gbps，如此大规模的数据海啸比可用管道高70-700倍。研究发现，对云服务提供商的攻击数量大致与其市场份额相对应，AWS、微软Azure和谷歌Cloud有着更多的云损坏案例。
　　值得注意的是，Link11在2019年下半年处理的持续时间最长的DDoS攻击持续了6459分钟，相当于中断了100多个小时，或是连续五天。毋庸置疑，如此长时间的宕机会造成严重的损害，并导致依赖于“数字化存在”的企业（无论是在平台、电子商务还是应用程序中）陷入困境。

API将成为重灾区

　　DDoS问题正在蔓延到基础设施以外的地方。许多组织机构开始运行云计算原生应用程序，并且将其作为第四次工业革命的一部分，制造商、物流企业和公用事业企业正在为其生产线、仓库、工厂和其他设施配备传感器和无线连接。这些都需要API才能正常运行。
　　尽管API可以简化架构和产品交付，但是它们也可以成为各种风险和漏洞的通道。当基本业务应用程序或API受到威胁时，与业务相关的所有操作都将会瘫痪，并会引发一连串的连锁反应。因此，只保护OSI layers 3和4已经不行了。如今，layer-7攻击可以使用更少的带宽造成更严重的破坏。

用户的应对方案

　　当企业在云端上运行测试和开发实例时，云服务的基本安全级别可能就足以保护企业的数据和系统了。但是如果企业要在云端上运行关键任务，或与营收相关的服务，那么企业应彻底分析威胁状况，并确保拥有正确的工具。也就是说，这些企业提供的不仅是基本的安全性，还要（在尽可能的范围内）保证其系统拥有弹性，并让功能达到“企业级”。升级后的安全性包括自动报告和警报、仪表板、与现有SIEM系统集成以及其他一些功能。
　　许多服务提供商都提供一些附送功能，其服务套餐也大致相同。但是与所有的事情一样，魔鬼总在细节中。买家在购买之前应仔细评估其提供商的服务级协议，确保对所有的服务都进行了相互比较，同时确保服务水平能够满足自己的特定需求。
　　规模越来越大且越来越频繁的攻击、API带来的风险以及宕机所造成的经济损失加起来构成的综合性威胁远远大于其各种威胁的总和。用户应当以安全为首要考虑因素进行精心计划和实施。云计算具有非凡的意义的，除了经济原因外，它们还使得用户能够与合作伙伴和客户展开更深层次的协作，让产品以更快的时间上市成为可能。
　　本文作者Marc Wilczek为数字化战略家和首席信息官顾问，在信息和通信技术领域拥有20多年的丰富领导经验，其对所有数字事物充满热情，尤其是云计算、大数据和物联网服务。
　　原文网址
　　https：//www.cio.com/article/3528910/3-things-you-should-know-about-cloud-security-in-2020.html

其他文献

2021年基础设施和运营趋势冷热不均

新冠肺炎疫情给IT界带来了巨大压力，但也证明了那些关注新趋势的人做出的一系列基础设施选择是正确的。事实证明，对于很多企业来说，云是应对疫情引发变革的一剂灵丹妙药。早期采用者大胆投入的RPA和人工智能，在疫情爆发时能够主动应对，处于有利地位，企业随之推广应用，自动化也得到了很大发展。　　尽管如此，不管有没有疫情，IT部门永远都不能自满。变革往往说来就来，它是这个行业永恒的组成部分。IT的变革正在加速

期刊

IT如何适应新兴的混合办公环境

随着分布式数字化办公逐渐兴起，用户支持、IT部门与人力资源的关系以及前端技术都需要重新思考。　　2020年春天，随着新冠肺炎疫情的蔓延，全球数千万人不得不开始远程办公。IT和用户都能够很快地适应，考虑到调整范围，企业能够相对轻松地继续开展业务。更重要的是，在全球范围内，员工的生产率实际上都得到了提升，甚至在最初的新鲜感消退之后，这种状态依然得到了保持。　　Gartner分析师Suzanne Adn

期刊

我国数字经济规模占GDP比重超过36%

在日前举行的第二届中国互联网基础资源大会（CNIRC2020）上，国家互联网信息办公室副主任杨小伟表示，我国数字经济规模已从“十三五”初的11万亿元，增长到2019年的35.8万亿元，占GDP比重超过36%，对GDP贡献率高达67.7%;五年间，我国互联网基础资源行业实现跨越式发展，网民规模从2016年的6.88亿人增至2020年的9.4亿人，互联网普及率从50.3%增至67.0%，超全球平均水平

期刊

软件开发中4个重要的KPI

与所有技术性或创造性工作一样，软件工程团队的效率是不能以数量来衡量的。如果仅衡量软件开发的生产力和跟踪团队的绩效，那么只需要简单地计算一下代码行数或工作时间即可。工作的质量和团队的协作会对生产力产生直接和持久的影响。软件开发效率正变得日益灵活且相互之间具有千丝万缕的联系，加之敏捷性的不断增强，传统的关键绩效指标（KPI）如今已经失效。　　为了适应发展趋势，我们需要重新考虑KPI，扩大团队并重新定义

期刊

7项易被忽视的网络安全成本

对于网络攻击，防患于未然总比攻击发生后修复损失的成本低得多。尽管如此，很多企业在编制网络安全预算时仍存在重大遗漏，会使企业很容易遭受重大财务损失。　　每一家企业，无论规模多大，关注的重点是什么，都应制定合理、准确的网络安全预算。佐治亚州肯尼索州立大学信息安全与保障学教授Humayun Zafar 评论说：“只有做好预算，我们所有的一切才具有现实和实际意义。”　　Zafar 指出，尽管企业尽最大努

期刊

数字化创新的成功秘诀

实现卓越创新的秘诀是什么？大多数成功的组织得出了一个简单的公式：从面临“合适”的业务问题的业务人员开始，让他与既懂业务又懂创新技术的IT 技术人员合作，再加上一位目标明确的技术专家，最后激发他们的集体想象力，设计新的方法来运用科学和技术，以尚未发现的方式解决问题。然后还要使这个流程可以重复。　　合适的问题是指一旦解决了该问题，创新团队所做工作的价值可以被放大，业务成果能够实现高需求、可扩展的价值倍

期刊

人工智能卓越中心：推动业务转型的新引擎

壳牌公司在2013 年首次启动其“人工智能卓越中心”时，该中心甚至不被称为人工智能中心，而是被称为预测性分析中心，而且规模很小。　　Dan Jeavons 说：“ 当时整个中心也就我一个人。”现在他负责壳牌公司的数据科学卓越中心，该中心共有180 名全职数据科学家和工程师。　　他说：“公司扩大了这个中心的规模。”　　最初，该卓越中心的目的是为从事与数据分析有关项目的业务部门提供支持。　　他说：“我

期刊

如何提升软件开发速度

作为游戏行业中的初创公司，Polystream 主要通过3D 互动流媒体平台与其他游戏公司展开激烈竞争。为了获得竞争优势，Polystream需要快速交付新的功能。　　该公司的工程副总裁Cheryl Razzell 和人才主管Simon Sparks 认为，新功能的交付速度也是一项竞争优势。Sparks 称：“为了获得竞争优势，我们必须充分利用包括速度在内的一切优势。”　　要想获得速度优势，企业

期刊

“高精度数字土壤”建成我国耕地状况一目了然

以100米×100米（1公顷）为单元，全国耕地土壤状况通过数字化呈现，一目了然。中国农科院4月6日宣布，由该院农业资源与农业区划研究所牵头完成的覆盖全域的中国“高精度数字土壤”数据库，历时21年建成。据悉，这是我国迄今最完整和精细的土壤资源与质量科学记载。　　项目第一完成人、中国农科院资划所研究员张维理介绍，所谓数字土壤，就是数字化的土壤，它是利用现代信息技术方法，模拟、重现土壤类型、土壤養分等土

期刊

首席信息官该如何培育企业文化？

如今消費者可以通过点击或滑动屏幕来订购从食物到床垫在内的所有物品，没有WiFi的工作场所简直是无法想象的。　　这正是Lookman Fazal在2019年初成为新泽西州NJ Transit的首席信息官时所遇到的事情。NJ Transit负责新泽西州40亿美元的公共交通系统，公司的员工一直使用有线连接方式与互联网连接的台式机工作，这严重阻碍了员工在办公室以外的场所开展工作。Fazal称：“从技术角度

期刊