SaaS、PaaS、IaaS，如今的企業(yè)可以選擇任意的云服務(wù)交付類(lèi)型，但是這里有一個(gè)他們無(wú)法忽視的問(wèn)題：安全。而且，不同的人對(duì)安全性的認(rèn)識(shí)均有所不同，比如IT和業(yè)務(wù)線人員(LoB)就對(duì)基于云的應(yīng)用風(fēng)險(xiǎn)具有不同看法。

[[258874]]

云里有什么?

如果想要遷移到云端，那么企業(yè)可能會(huì)希望利用可快速實(shí)施的統(tǒng)一通信和協(xié)作服務(wù)，以提供更多的特性和功能，并同時(shí)減少預(yù)算。同樣的思維過(guò)程也適用于他們的呼叫中心。云計(jì)算很有吸引力，但I(xiàn)T人員和業(yè)務(wù)主管對(duì)安全風(fēng)險(xiǎn)的看法則不同。

去年1月Ponemon發(fā)布了由Salesforce贊助的云安全報(bào)告《縮小云安全業(yè)務(wù)的差距》(Closing the Cloud Security Business Gap)，該報(bào)告調(diào)查了與云服務(wù)相關(guān)的各種觀點(diǎn)、問(wèn)題和業(yè)務(wù)立場(chǎng)。其中比較有趣的是，IT組織人員與LoB人員對(duì)安全性的看法有所不同。由于這兩個(gè)領(lǐng)域并不一致，因此在創(chuàng)建過(guò)程、實(shí)施的程序、預(yù)算定義預(yù)安全性執(zhí)行方面可能存在沖突。盡管他們具有相類(lèi)似的上云原因，但其背后目的并不一樣，IT需要降低成本，而LoB希望提高效率和減少部署;IT希望提高安全性(24%)，而LoB認(rèn)為這個(gè)并不是太重要(12%)。

來(lái)源：Ponemon,2018

云端風(fēng)險(xiǎn)

Ponemon報(bào)告的結(jié)論之一是，不了解使用中的云應(yīng)用程序和平臺(tái)(SaaS或PaaS)可能會(huì)帶來(lái)風(fēng)險(xiǎn)。報(bào)告發(fā)現(xiàn)，77%的受訪者對(duì)收集、處理和/或存儲(chǔ)的敏感數(shù)據(jù)沒(méi)有完全的可見(jiàn)性。在另一個(gè)結(jié)論中，50%的人不確定他們的IT組織是否知道目前正在使用的所有云應(yīng)用程序。當(dāng)被要求對(duì)風(fēng)險(xiǎn)水平進(jìn)行評(píng)級(jí)時(shí)，69%的人認(rèn)為不知道目前使用的所有云應(yīng)用程序和平臺(tái)的風(fēng)險(xiǎn)水平。

下圖顯示，對(duì)于云解決方案和本地解決方案，對(duì)云安全性的看法是差不多的。它還表明，LoB(20%)和IT(38%)對(duì)云安全資源的關(guān)注之間存在脫節(jié)。

來(lái)源：Ponemon,2018

數(shù)據(jù)外泄

數(shù)據(jù)外泄問(wèn)題將可能導(dǎo)致信息竊取、更改網(wǎng)站上的信息、將用戶連接到惡意代碼和信息，或禁用企業(yè)的資源等問(wèn)題。最常見(jiàn)的罪魁禍?zhǔn)资侨藶殄e(cuò)誤(48%)。這意味著企業(yè)必須監(jiān)視其用戶，以發(fā)現(xiàn)導(dǎo)致安全問(wèn)題的用戶實(shí)踐行為。網(wǎng)絡(luò)攻擊占安全問(wèn)題的43%。處理攻擊需要不同的工具集，從監(jiān)視網(wǎng)絡(luò)和應(yīng)用程序的異常行為到安裝預(yù)防措施。比較有趣的是，安全問(wèn)題的第三大來(lái)源是系統(tǒng)故障(36%)。這可能意味著安裝不當(dāng)、疏忽、沒(méi)有更新補(bǔ)丁、延遲更改、IT人員缺乏知識(shí)或培訓(xùn)不足，所有這些都是IT管理問(wèn)題。

來(lái)源：Ponemon,2018

SaaS vs. PaaS安全責(zé)任

假設(shè)企業(yè)正在使用云服務(wù)，誰(shuí)負(fù)責(zé)安全性?SaaS與PaaS安全責(zé)任的比較存在著明確的意見(jiàn)分歧。在使用SaaS時(shí)，受訪者表示他們希望云服務(wù)提供商(SaaS)負(fù)責(zé)(29%)。當(dāng)與PaaS合作時(shí)，這一比例下降到17%。當(dāng)被問(wèn)及是否應(yīng)該共享安全責(zé)任時(shí)，只有13%SaaS客戶希望共享責(zé)任，而在PaaS客戶中比例上升到25%。

來(lái)源：Ponemon,2018

IT vs. LOB安全認(rèn)知

報(bào)告的結(jié)論是，LoB比IT安全部門(mén)更有可能相信存于云中的敏感/機(jī)密信息會(huì)比本地信息更安全。根據(jù)下圖，46%的LoB受訪者認(rèn)為云中的敏感或機(jī)密數(shù)據(jù)更安全，而IT受訪者只有28%認(rèn)為如此。33%的IT受訪者和25%的LoB受訪者表現(xiàn)他們的功能對(duì)信息安全負(fù)有較大責(zé)任。

LoB和IT都不認(rèn)為云服務(wù)提供了比本地計(jì)算更安全的環(huán)境(IT 49% vs. LoB 45%)。

來(lái)源：Ponemon,2018

一些觀察

使用云服務(wù)可以減輕IT的工作量。這也意味著它的控制權(quán)更少，將依賴(lài)第三方的安全。它看到負(fù)債增加。LoB看到了一個(gè)更有效的解決方案。

IT認(rèn)為風(fēng)險(xiǎn)妨礙他們的操作，產(chǎn)生額外的工作，并在發(fā)生攻擊時(shí)投訴。

IT認(rèn)為攻擊是一種成本，因?yàn)樗鼈儠?huì)耗盡資源。

LoB認(rèn)為此次攻擊不僅會(huì)影響收入和利潤(rùn)，還會(huì)受到監(jiān)管機(jī)構(gòu)的費(fèi)用和罰款的影響。

LoB更加關(guān)注客戶流失和聲譽(yù)受損。

似乎IT與LoB對(duì)安全具有當(dāng)前的認(rèn)知可能是由于本地安全功能的聲譽(yù)不佳。 對(duì)于云的營(yíng)銷(xiāo)工作對(duì)LoB的影響可能比IT部門(mén)更大。 IT和LoB必須能進(jìn)行更好地溝通，更多地了解對(duì)方的看法， 目標(biāo)和現(xiàn)狀。

查看完整報(bào)告請(qǐng)點(diǎn)擊：

http://s3.amazonaws.com/idgcampaigns/documents/uploaded_data/05c/4f2/1a-/original/closing-the-cloud-security-business-gap.pdf?1542300161

原文鏈接：https://telecomreseller.com/2019/03/04/cloudy-security-concerns-it-vs-lob/

作者：Gary Audin