作為向IaaS遷移的一部分，定制應(yīng)用在公共云中的使用越來越廣泛。

　　公司企業(yè)不能依賴現(xiàn)成的商用軟件來滿足所有的IT需求：幾乎所有公司都開發(fā)他們自己的App。此類App中的大多數(shù)，無論是內(nèi)部或面向互聯(lián)網(wǎng)的，目前都運(yùn)行在自有或本地運(yùn)營的數(shù)據(jù)中心。但到2017年底，這種情況將發(fā)生改變——大多數(shù)企業(yè)定制App，將隨全行業(yè)向“基礎(chǔ)設(shè)施即服務(wù)”(IaaS)遷移的增速，而存在于公共云中。

　　定制應(yīng)用安全不容樂觀

　　云安全聯(lián)盟(CSA)和 Skyhigh Networks調(diào)查報(bào)告顯示，越來越多的定制App，在安全團(tuán)隊(duì)未必知曉的情況下，被轉(zhuǎn)移到了云基礎(chǔ)設(shè)施上(主要是AWS、Azure和谷歌云平臺(tái))。這顯然是一種新的影子IT——未必是IT部門不知道的軟件，但卻是安全主管不知曉的。

　　這就產(chǎn)生了新的安全和合規(guī)問題——因?yàn)镃ISO沒辦法保護(hù)他們看不到的東西?；蛟SApp開發(fā)者會(huì)假定自己的App受到云提供商的安全防護(hù)，因而沒必要經(jīng)過內(nèi)部安全團(tuán)隊(duì)的審批。顯然，大部分受訪者都認(rèn)為IaaS比本地?cái)?shù)據(jù)中心更安全——僅僅因?yàn)閬嗰R遜、微軟和谷歌可用的安全資源數(shù)都數(shù)不清。

　　但是，云運(yùn)營的責(zé)任是共享式的，客戶得對(duì)其上傳的數(shù)據(jù)和開發(fā)的App負(fù)責(zé)。該報(bào)告引用了Code Spaces的例子——在AWS上為客戶提供代碼倉庫，但發(fā)生了數(shù)據(jù)泄露。AWS并沒有被侵入，但攻擊者搞到了Code Spaces合法賬號(hào)口令。最終，他們銷毀了所有客戶的數(shù)據(jù)，對(duì)Code Spaces影響巨大，直接導(dǎo)致其停業(yè)。Skyhigh的調(diào)查凸顯出：越來越多的定制App，正作為向IaaS遷移的一部分，在公共云內(nèi)被使用。

　　Skyhigh首席歐洲發(fā)言人奈杰爾·霍索恩解釋道：“很多公司都不重視定制應(yīng)用安全。但如今，每家公司都是軟件公司；92%的公司開發(fā)自有定制App，普通企業(yè)在明年將運(yùn)行有超過500個(gè)的App。而且，72%的公司當(dāng)下就有對(duì)運(yùn)營至關(guān)重要的定制App。當(dāng)這些工作負(fù)載被網(wǎng)絡(luò)攻擊盯上，或者成為誤操作的受害者，停工時(shí)間就將對(duì)業(yè)務(wù)造成重創(chuàng)。應(yīng)用創(chuàng)新優(yōu)先于安全很正常，但是，在平均285個(gè)定制App在IT安全團(tuán)隊(duì)視線之外的情況下，必須確保IT安全成為定制App開發(fā)過程中的一部分。”

　　定制應(yīng)用從一開始就嵌入網(wǎng)絡(luò)安全

　　取決于公司規(guī)模，安全團(tuán)隊(duì)不知道的App的實(shí)際數(shù)量各有不同。員工數(shù)少于1000的小公司，可能只有22個(gè)定制App；但超過50000名員工的大公司，平均App數(shù)量可達(dá)788個(gè)。正是這大量的不可見App，導(dǎo)致了安全問題。65%的受訪者稱他們對(duì)云端定制App有著適度的關(guān)注或非常關(guān)心，僅13.8%稱“完全不關(guān)心”。

　　報(bào)告稱：“IT安全人員只注意到IT管理員所知應(yīng)用中的38.4%。這意味著IT安全團(tuán)隊(duì)僅參與進(jìn)不到一半的應(yīng)用安全維護(hù)中以確保公司數(shù)據(jù)不受威脅侵害。這似乎不是安全成為開發(fā)的障礙，而是開發(fā)在安全缺席的情況進(jìn)行了。”

　　個(gè)人數(shù)據(jù)泄露在數(shù)據(jù)保護(hù)條例下可能讓公司損失慘重，并對(duì)品牌聲譽(yù)造成破壞；但某些定制App確實(shí)實(shí)實(shí)在在對(duì)業(yè)務(wù)運(yùn)營起到關(guān)鍵作用。近73%的受訪者稱，他們至少有1個(gè)業(yè)務(wù)關(guān)鍵應(yīng)用。其中46%要么完全部署在公共云，要么在混合云里——IT安全人員完全看不到他們的部署和運(yùn)營。隨著向IaaS的遷移繼續(xù)進(jìn)行，暴露在風(fēng)險(xiǎn)之中的業(yè)務(wù)關(guān)鍵定制App數(shù)量無疑也會(huì)上升。

　　“保護(hù)云端敏感數(shù)據(jù)不再是某一方的職責(zé)，這是共同責(zé)任。”霍索恩說，“IaaS的快速采納，見證了基礎(chǔ)設(shè)施提供者和企業(yè)間的角色割裂，而在內(nèi)部，企業(yè)不能指望IT獨(dú)力管理云安全。必須讓所有部門都參與進(jìn)來，確保定制應(yīng)用從一開始就嵌入了網(wǎng)絡(luò)安全，且員工一直以不會(huì)將公司數(shù)據(jù)置于風(fēng)險(xiǎn)之中的方式使用這些應(yīng)用。”

　　佚名

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……