云計(jì)算配置錯(cuò)誤大多歸咎于企業(yè)IT管理員

作者：Michael Heller 2018-08-01 15:06:45

云計(jì)算 在本文的關(guān)于云計(jì)算安全的問答環(huán)節(jié)中，BetterCloud公司首席執(zhí)行官兼創(chuàng)始人David Politis對為什么SaaS安全事件成為重大的新聞，以及企業(yè)如何控制這些云計(jì)算配置錯(cuò)誤以保護(hù)數(shù)據(jù)進(jìn)行了闡述和分析。

在云計(jì)算安全方面，企業(yè)員工可能是組織最大的敵人，特別是當(dāng)組織偏離最低權(quán)限訪問模型時(shí)。

數(shù)據(jù)泄露最近一直是行業(yè)媒體關(guān)注的主題，通常歸咎于云計(jì)算配置不當(dāng)，并導(dǎo)致選民記錄，Verizon公司客戶數(shù)據(jù)，甚至是軍方機(jī)密在云存儲(chǔ)中對外泄露。

在以下的關(guān)于云計(jì)算安全的問答環(huán)節(jié)中，BetterCloud公司首席執(zhí)行官兼創(chuàng)始人David Politis對為什么SaaS安全事件成為重大的新聞，以及企業(yè)如何控制這些云計(jì)算配置錯(cuò)誤以保護(hù)數(shù)據(jù)進(jìn)行了闡述和分析。

最近有很多關(guān)于云計(jì)算配置錯(cuò)誤導(dǎo)致數(shù)據(jù)泄露的事件。您認(rèn)為這是新出現(xiàn)的問題還是已經(jīng)加劇的問題?

David Politis：自從人們開始采用SaaS應(yīng)用程序以來，這個(gè)問題一直存在。但它直到現(xiàn)在才得到人們更多的關(guān)注，這是因?yàn)樵诤芏嗲闆r下，錯(cuò)誤配置直到為時(shí)已晚才被識(shí)別出來。在大多數(shù)情況下，業(yè)務(wù)配置在部署股票應(yīng)用程序時(shí)就已到位，或者在多年前或六個(gè)月前更改設(shè)置時(shí)就已到位，并且直到一些泄露事件曝光發(fā)生時(shí)，組織才開始關(guān)注它。

例如我們與一些客戶探討的一個(gè)案例，三年前我們告訴他們將會(huì)遇到X、Y和Z問題，因?yàn)樗麄冇刑嗟墓芾韱T，三年來這些問題一直處于休眠狀態(tài)沒有顯現(xiàn)。但突然間，他們遇到了一個(gè)問題，這些公司的所有員工的聯(lián)系方式泄露，而這是一家擁有10,000名員工的公司，這家公司的每位員工在此期間都可以訪問每一個(gè)電子郵件分發(fā)列表。

此外，我們的另一家客戶近日表示，“我們公司的一個(gè)超級(jí)管理員錯(cuò)誤地刪除了公司的三分之一的員工資料?！边@家公司大約有3000名員工，而該公司三分之一的員工的個(gè)人資料當(dāng)時(shí)只剩下電子郵件，而沒有文件和日歷等其他信息，這讓他人認(rèn)為這些人員被解雇了。

在此期間，這些員工認(rèn)為他們被解雇了，因?yàn)樗麄儫o法獲得任何信息和數(shù)據(jù)。他們不得不去恢復(fù)相關(guān)應(yīng)用程序。1000名員工面對這15分鐘的停機(jī)時(shí)間令人困惑。

我們已經(jīng)看到了這些類型的事件的發(fā)生，這就是我們創(chuàng)辦數(shù)據(jù)安全公司的原因。但直到現(xiàn)在，這些SaaS應(yīng)用程序的采用越來越多，以至于這些問題大規(guī)模發(fā)生，導(dǎo)致媒體對此進(jìn)行宣傳報(bào)道。

您提到了云計(jì)算配置錯(cuò)誤可能導(dǎo)致的不同SaaS安全問題。這些數(shù)據(jù)曝光事件是否掩蓋了更大的問題?

Politis：更多的是無意中所犯的錯(cuò)誤，這使得它如此具有挑戰(zhàn)性。這不是一種惡意行為，雖然會(huì)遭遇惡意攻擊，但很多這些情況都不是惡意的。這是錯(cuò)誤的配置，或者僅僅是某人犯下的一般性錯(cuò)誤。甚至刪除用戶只是管理員誤操作的結(jié)果，這是因?yàn)楣芾韱T不了解如何配置應(yīng)用程序以遵循最小權(quán)限模型??。

我認(rèn)為，即使這是一個(gè)無意所犯的錯(cuò)誤，對外泄露的數(shù)據(jù)類型也可能是最敏感的數(shù)據(jù)，因?yàn)槲覀円呀?jīng)達(dá)到了SaaS應(yīng)用程序使用方式的臨界點(diǎn)。通常云計(jì)算被用作記錄系統(tǒng)。如果回到五年前，通常人們不會(huì)將云端視為一個(gè)存儲(chǔ)重要記錄的系統(tǒng)。而是一個(gè)次要的措施，可以在云端存放一些東西，也許是一些設(shè)計(jì)文件，但現(xiàn)在很多企業(yè)卻將人力資源等重要的文件存儲(chǔ)在云端。

最近，我們對客戶進(jìn)行了安全評估，我們發(fā)現(xiàn)他們將所有的人力資源文件都存放在他們的云存儲(chǔ)系統(tǒng)中的公共文件夾中。而且按照客戶公司員工的說法，這種配置絕對不是惡意的，但這樣做很糟糕。我們發(fā)現(xiàn)諸如公開可用文件的員工背景檢查等文檔。如果其他人知道如何找到它們，就可以獲得這些資料。

我認(rèn)為，這比企業(yè)員工資料被刪除15分鐘還要糟糕。而且是完全錯(cuò)誤的。我們與客戶進(jìn)行了溝通，其人力資源負(fù)責(zé)人對這些基于云計(jì)算的系統(tǒng)并不十分熟悉。他們只是在文件夾級(jí)別錯(cuò)誤配置了一些東西，然后他們添加到該文件夾??的所有文件中，使其對外公開可用。但我們認(rèn)為這樣可能更危險(xiǎn)，因?yàn)橐苍S這種事情正在發(fā)生，并且正在日復(fù)一日地發(fā)生，我認(rèn)為實(shí)際上很難捕捉到這樣錯(cuò)誤的行為。

是否所有企業(yè)都認(rèn)為某處存在云計(jì)算配置錯(cuò)誤?找到這些問題到底有多難?

Politis：根據(jù)我們的經(jīng)驗(yàn)，我們調(diào)查中的10個(gè)企業(yè)云環(huán)境中有9個(gè)企業(yè)存在配置錯(cuò)誤，并且與組織的規(guī)模無關(guān)，而在其環(huán)境中的某個(gè)地方存在重大的或嚴(yán)重的錯(cuò)誤配置。在大多數(shù)情況下可以找到錯(cuò)誤的配置，但這有點(diǎn)像在大海撈針。它需要花費(fèi)大量時(shí)間，因?yàn)槲ㄒ坏姆椒ㄊ窃诠芾砜刂婆_(tái)中逐頁進(jìn)行操作;點(diǎn)擊每個(gè)設(shè)置來查看每個(gè)組，查看每個(gè)頻道并查看每個(gè)文件夾。因此，除非現(xiàn)在以編程方式進(jìn)行，否則沒有更好的方法可以做到這一點(diǎn)。

我們成立公司就是為了識(shí)別這些盲點(diǎn)。這是因?yàn)檎娴挠行枰?。?dāng)我們查看這些環(huán)境并開始登錄Salesforce、Slack、Dropbox和Google時(shí)，可能需要幾個(gè)月的時(shí)間來完成一個(gè)擁有幾百名員工的環(huán)境的檢查，這需要檢查所有配置和所有不同的區(qū)域，因?yàn)檫@樣的環(huán)境，錯(cuò)誤配置可能成為一個(gè)問題。

如今人們必須采用的方法是通過人工操作完成。這可能需要很長一段時(shí)間，而這取決于組織的規(guī)模，他們使用SaaS應(yīng)用程序的時(shí)間，通常采用多少云平臺(tái)，以及他們擁有的數(shù)據(jù)蔓延管理，更重要的是，將跨越所有SaaS的權(quán)利，配置設(shè)置，以及權(quán)限的蔓延。

我們看到其中很大一部分問題都不是IT團(tuán)隊(duì)的錯(cuò)。在許多情況下，其錯(cuò)誤配置可能早于IT組織成立的時(shí)間，因?yàn)镾aaS應(yīng)用程序的存在時(shí)間通常比IT組織或IT領(lǐng)導(dǎo)者入職時(shí)間還要長。

在許多情況下，最終用戶可能進(jìn)行了錯(cuò)誤配置，因?yàn)樗麄儗@些應(yīng)用程序有很多控制權(quán)。這可能是啟動(dòng)了影子IT，并且以某種方式由影子IT配置。當(dāng)應(yīng)用程序被IT組織接管時(shí)，很多配置的清理工作都沒有完成，因此它不適合IT團(tuán)隊(duì)所擁有的相同策略。

我們也有很多客戶，他們的管理員數(shù)量過多，這因?yàn)樾枰獙︿N售業(yè)務(wù)負(fù)責(zé)，一般來說，讓每個(gè)人都成為管理員并讓他們自己做出改變更容易。但是，當(dāng)IT團(tuán)隊(duì)公開接管Salesforce的安全性和管理時(shí)，找到所有錯(cuò)誤配置所需的工作真的很難。這適用于Dropbox、Slack和任何與影子IT相關(guān)的東西，很多企業(yè)會(huì)遇到這些問題。

文章題目：云計(jì)算配置錯(cuò)誤大多歸咎于企業(yè)IT管理員
當(dāng)前鏈接：http://m.5511xx.com/article/djhjjhd.html