组织与云服务商的安全责任

重要要点

• 组织需要与云服务提供商共同承担数据与应用的安全责任。
• 微软的云安全虽然有资源支持，但常常不足以满足企业的真实需求。
• 企业需要关注更多的安全功能和数据保护，而不仅仅是防火墙后面的内容。
• 云服务的共享责任模型要求企业要确保数据和配置的安全性。

近期，Fortinet咨询云架构师约翰·麦克多纳在一场中指出，微软提供的并非万无一失，尽管其背后是一个知名企业及其丰富的资源。实际上，麦克多纳表示，这些服务往往无法满足组织真正的需求。

麦克多纳在中提到，微软为其Azure云提供了一些重要特性，如入侵检测、传输层安全和URL过滤等防火墙功能。然而，他指出Azure的防火墙在功能激活方面常需附加组件，其提供的工具与专注于安全的供应商相比，仅为“可接受”。

在研讨会上，麦克多纳强调，安全专业人士在选择防火墙产品时，应该关注更多的关键功能，如入侵预防、僵尸网络保护、支持、数据丢失防护和虚拟补丁等。他指出，企业需要保护的不仅是防火墙后面的内容，还包括来往的数据及连接到防火墙的用户。

Inversion6的首席信息安全官克雷格·布尔兰表示，麦克多纳的研讨会强调了两个重要概念：企业在保障云安全上肩负着重大责任；而云迁移意味着企业的网络安全团队需要承担更多的工作——而非减少。

布尔兰提到，各种类型的云服务 — IaaS、PaaS和SaaS —
都依赖于共享责任模型。服务提供商只负责保护他们提供的服务，他表示，企业需承担保护数据和确保正确配置的责任，而非云提供商。

“对云服务这一关键方面的误解，使许多企业暴露在不必要的安全风险中，”布尔兰说道，“当企业采取措施减轻这一风险时，他们需要意识到，许多部署在本地的安全工具是无法扩展到云中的。”

在经济衰退期间，企业在最佳解决方案与一体化解决方案之间的紧张关系尤其明显，很多企业可能会为了成本而牺牲一些能力，西默特里系统的数据安全首席传道者克劳德·曼迪表示。曼迪认为，基于共享责任模型界定的“云的安全”与“云中的安全”之间的区别，要求企业判断云服务提供商提供的安全是否足够满足他们的需求。

“在大多数情况下，云服务提供商的责任在于保护企业的应用和数据之前就结束了，”曼迪说。“确保数据和应用得到保护是我们鼓励企业首先关注的方向。这样一来，企业能够围绕合适的内容做出经过深思熟虑的经济决策，而不是盲目追求安全网格的方法。”这会使企业能够专注于保护对其最重要的内容所需的能力，同时利用云服务商在基础安全服务（如网络安全服务）上的规模经济。

Horizon3ai的客户成功经理布拉德·洪表示，他和他的团队经常发现攻击和渗透测试的巨大影响范围源于最小的配置错误，甚至是缺乏配置，使得攻击者可以轻松登录到公共环境。洪赞同麦克多纳对终端用户误解“太大而不能倒闭”不适用于安全基础设施的批评。

“不要忘记，云计算不过是在别人的计算机上存储数据——依赖大公司的品牌声誉作为安全印章，组织实际上是在进行疏忽的风险转移，加上采购风险管理实践的欠缺，”洪说道。“就像任何引入公司核心资产的软件或硬件，IT团队不仅肩负责任，还承担着唯一