IT部门面临的最新挑战之一是:对于在企业不知情、未经企业许可或不受企业控制的情况下,员工在公共云共享或存储的敏感企业信息,对此,企业应该如何保护?一项最新调查显示出“山寨”云带来的严重安全问题。
在安全供应商赛门铁克的调查中,超过超过75%的受访表示他们的员工在公共云服务中共享或存储敏感企业信息。该报告(“避免云计算的隐性成本2013”)调查了29个国家的3236家企业,发现83%的大型企业和70%中小企业在使用这些山寨云服务。
山寨云是指不属于企业IT基础设施组成部分,且在企业不知情、未经企业许可或控制的情况下被使用的公共云服务。
“可能销售经理在签署Salesforce服务时,而没想过要咨询IT部门,”该报告中举例称,“或者也许营销部门通过未经授权的Dropbox账户与外部供应商共享重要的资料。在这两种情况中,企业都在不监管的情况下将敏感信息防到公共云服务中。”
赛门铁克公司全球云计算高级产品营销经理Dave Elliott表示,这也被称为“影子IT”,但我们认为山寨云更生动。
在最近几年,这一趋势正在显著发展,IT部门也越来越意识到这个问题。Elliott表示:“在过去几年里,这已经成为一个重大的威胁。”
这种威胁不仅是理论上的。赛门铁克报告称,在部署了山寨云服务的受访者中,40%遭遇了机密信息泄露事故,超过四分之一面临账户盗用问题或产品和服务盗窃问题。
此外,40%的受访者表示,他们在云中丢失了数据,而不得不从备份中恢复数据。而这些企业中,三分之二的企业看到恢复操作失败。
其他最新调查也得出了类似的结论。大约两个月前企业存储管理公司Nasuni发布的报告称,20%的企业用户在使用Dropbox来共享和存储工作文件。这样做的人中有一半人知道这违反了企业的政策。
专家称,导致这个问题的重要原因是,与企业内部部署的服务相比,山寨云服务更简单更便捷。赛门铁克报告称:“最普遍的原因是节省时间和金钱,而咨询IT只会让事情变得复杂。”
并且,这个问题并不是简单地禁止使用未经批准的云服务就能解决的。
“人们试图寻找最方便的方式,”Wave Systems副总裁Edy Almer表示,“对于不愿意炒掉优秀员工来‘杀鸡儆猴’的企业,最好采用强制性技术措施来支持书面政策。”
国际电脑安全协会实验室(ICSA Labs)云安全服务项目经理Vinny Sakore表示:“请记住,这里的问题不是关于自动化,而是关于人类行为,我们人类是很灵活的,常常有很多奇思妙想。”
Veracode研究副总裁Chris Eng表示,在技术上,IT部门可以简单地从企业网络组织开放云服务,但人们总是想得出办法来绕道而行。
“例如,人们把工作带回家,他们也许会直接访问Dropbox,或者切换到很多其他云存储服务,例如Box或SkyDrive,”他表示,“现在你的企业敏感信息被防盗几个云服务中,人们总能找到方法来规避企业政策。”
除此之外,这种“携带自己的云服务”也有一些好处。Proofpoint技术副总裁Andres Kohn表示,“首席执行官们看到了很多这些服务的生产和成本效益,他们可能没有意识到风险。”
Dave Elliott表示没有回头路可走,“你并不会想要阻止它,这能够提高生产效率,推动业务。”
Elliott和其他专家认为需要由IT来降低相关风险。“在这一趋势的前沿的企业已经安排了首席信息安全官的职位,这些人的作用不是在于说‘不’,而应该说‘好的,你可以以这种方式安全地访问服务。’”
Elliott说,除了书面的政策,安全意识培训和监督,企业可以选择不同类别的某些公共云服务。一些企业还可以创建于主流公共云一样简单便捷的内部云服务。
理想的情况是,IT部门为用户使用任何云服务提供无缝连接,同时在上面部署分层可视性和控制。Elliott表示,这需要包括数据加密和“让企业管理密钥,而不是服务供应商”。
Eng指出,大多数员工只是想更快更好地完成其工作,企业需要意识到这一点。