数据蔓延：云数据挑战

用于存储和管理数据的传统安全方法已经不足以满足当今云世界的需求为什么？云与敏捷云开发势不可挡的力量正在推动企业构建部署和运行应用程序的方式发生重大变化因此，当今的运营需求要求对数据的管理和保护方式进行范式转变

数据蔓延（也称为数据传播/分散）是利用云服务的组织面临的最大挑战之一事实上，根据CSC 的一项研究，只有 33% 的组织能够在所有云中维护其数据的单一视图，并且只有 60% 可以安全地在云提供商之间共享数据

为了应对云数据蔓延的挑战，组织必须实施一种数据控制策略，以帮助从一个地方管理多个应用程序和云存储提供商在云环境中，制定数据管理计划尤为必要，以便在所有云环境中拥有单一的数据视图，并确保只有经过授权的身份才能查看和使用特定信息

在数据得到控制之前，企业可能会花费大量时间和金钱来减轻负面后果事实上，他们平均可以在五年内花费 1600 万美元来管理数据蔓延为了降低这种风险，IT 领导者应该了解四个非常重要的注意事项Gartner 假设，到 2025 年，80% 的企业将关闭其传统数据中心事实上，10% 的组织已经拥有其云数据中心许多组织正在根据网络延迟客户群和地缘政治限制重新考虑应用程序的放置例如，欧盟的通用数据保护条例 (GDPR) 或监管限制

由于高资本成本，拥有旧数据中心的企业不想重建或建立新的数据中心他们宁愿让其他人管理物理基础设施Gartner 的 IT Key Metrics 数据显示，过去几年，用于数据中心的 IT 预算占 IT 预算的百分比有所下降，现在仅占总数的 17%

根据2020 IDG 云计算研究，92% 的公司已经采用了云技术IDG 分析预测，云技术将继续积极转变，并预测在 18 个月内，SaaS 将有 95% 的公司使用，IaaS 为 83%，PaaS 为 73%还预测云计算预算正在增加，因为预计未来 12 个月内将有 32% 的 IT 预算分配给云计算

如今，基础设施和运营 (I&O) 领导者面临着艰巨的挑战他们已经了解了几十年的 IT 正在发生根本性的变化在本地工作的传统安全方法不再适用于云RightScale表示，80% 的云公司都采用了多云战略，使用多个供应商，如亚马逊微软谷歌IBM甲骨文和阿里巴巴此外，创建云帐户的便捷性和优势确保拥有多个 AWS 或 GCP 云帐户或 Azure 订阅成为常态企业拥有数百个甚至数千个云帐户并不罕见

我们还不知道每个企业在这么多不同的云上运行多少计算能力，但让我们做一些粗略的数学计算：

大多数企业拥有数百个 AWS 账户，许多企业拥有超过 1000 个（甚至 10,000 个）我看到的数字表明，财富 500 强公司中有 83% 是公共云的消费者如果是这样，那么这意味着截至今天，全球大约有 130,000 个企业规模的 AWS 云帐户，这些帐户仅在 AWS 中运行就构成了大量实例

每个公司也有至少一个 Google VM 或 Compute Engine 实例的可能性也很大我看到的数字表明，财富 500 强中有 49% 也是 Google Cloud Platform (GCP) 的用户我认为可以安全地假设，如果企业拥有 AWS 账户，那么他们就有一个 GCP 账户能够使用多个云是公司在需要时扩展其容量的同时利用一些冗余的一种方式

如果我们做一些简单的数学计算：根据一组估计，来自两个提供商的 130,000 x 2 = 260,000 个云帐户总数可能比这个数字多得多这些只是帐户，我们甚至还没有触及云中身份数量的表面层级

任何阅读本文的人也可能很好地猜测有多少云帐户来自他们自己的公司，因此我们甚至不要尝试估计单个组织的员工可能有权访问的身份数量我们只会说让它成为一百万选择有限的可管理数据存储（例如 OracleIBM 和 MS SQL）的日子已经一去不复返了敏捷云开发方面的创新导致新数据存储选项激增，团队使用 Amazon MongoDBElasticsearchCouchDBCassandraDynamo DBHashiCorp Vault 等等将这些添加到 AWS S3 和 Azure Blob 等对象存储中，不言而喻，新的企业基础设施没有数据中心的物理或逻辑概念对于容器编排，容器的典型生命周期为12小时无服务器功能已经被22%的公司采用在几秒钟内来去匆匆数据是数字时代的石油，但在这个时代，石油钻井平台转瞬即逝，数不胜数EC2 实例Spot 实例容器无服务器功能管理员和敏捷开发团队是数不清的钻探数据转瞬即逝的设备难怪53% 的使用云的组织都在线公开了数据？虽然所有这些灵活性和敏捷性都有利于创新和灵活性，但它也带来了新的挑战特别是，我们有一个跟踪和控制云数据以及可以访问它的内容

我们的 Breach Watch 页面上列出了一小部分广为人知的云数据丢失事件示例，但我们可以确信，随着云平台的快速采用和新开发技术的持续有增无减，数据控制问题将会加剧

当然，我们不仅仅有安全问题PCIHIPAA欧洲的 GDPR加利福尼亚的 CCPA巴西的 LDPD加拿大的 PIPEDA 等合规性要求要求对数据和这些控制的审计/报告进行广泛的安全控制随着云和敏捷成为主流，传统的数据中心和网络管理工具都停留在过去以从业者为中心的云提供商工具也无法胜任这项任务AWSAzureGCP 和其他云提供商中存在明显不同的身份和数据模型访问控制列表内联策略组内联策略角色内联策略代入角色切换角色联合和托管策略都会影响访问资源的内容

我们必须了解多个云提供商身份和数据模型，并跟踪对主要 AWSGCP 和 Azure 云平台中使用的第三方数据存储的访问当公司需要跟踪跨多个云大量云帐户和数千个数据存储的数据访问和移动时，该公司该何去何从？目前已有需要的云技术为跨云帐户云提供商和第三方数据存储的所有身份和数据关系活动和数据移动提供完整的风险模型服务重点是所有有权访问数据的实体的数据+身份跨云提供商和第三方数据存储最后，云技术在 DevOps 和安全团队之间架起了桥梁，以：

1提高数据安全性并降低风险用户配置风险和公共数据暴露风险都是跨云提供商账户国家团队和应用程序报告的

2确保合规数据主权数据移动和身份关系都受到监控，以确保符合主权GDPRHIPAA和其他合规性要求

3提高 DevOps效率云提供商管理模型通过数百个AWS和Google Cloud帐户以及Azure 订阅/资源组的集中分析和视图进行标准化

推荐阅读：

• 更多网络欺诈的潜在威胁
• 网络安全是企业转向数字化改革模式的重中之重
• 数据的需求与数据供应链挑战齐头并进
• 美国电信运营商T-Mobile就数据泄露一事展开调查
• 提升网络弹性和应对政府信息安全挑战
• 您的个人信息是否被滥用？
• 巴西宣布成立国家数据保护委员会

注：本文由E安全编译报道

    关注 E安全