報告顯示雲端數據安全對很多公司來說仍然是一個挑戰

報告顯示雲端數據安全對很多公司來說仍然是一個挑戰

儘管雲計算資源對於組織的重要性越來越大，但公司仍未採用適當的治理和安全措施保護雲中的敏感數據。最近一份名為 2016 年全球雲數據安全研究調查了全球超過 3,400 位 IT 和 IT 安全從業人員，以更好地了解基於雲的服務的數據治理和安全實踐的關鍵趨勢。

73% 的回覆者表示基於雲的服務和平台對組織的運營非常關鍵，81% 的回覆者表示他們將在未來幾年更多地使用。事實上，36% 的回覆者表示，當今的雲資源可以滿足公司的總 IT 和數據處理需求，並預計這數字會在未來兩年增至 45%。

儘管基於雲的資源對於 IT 運營和企業戰略變得越來越重要，但是 54% 的回覆者都不認為公司採取了主動的方法來管理安全性，遵守雲環境的隱私和數據保護法規。但是，有 65% 的回覆者表示，他們的組織致力於保護雲中的機密或敏感信息。此外，56% 的回覆者不認為他們的組織非常謹慎地與第三方分享雲中的敏感信息，如業務合作夥伴、承包商和供應商。

組織使用雲的原因是其成本和靈活性，但在虛擬環境中保持對數據的控制和合規性方面仍然非常困難，其中很明顯的是，安全措施未跟上這一發展步伐，原因在於當僅在網絡上存儲時，雲會挑戰傳統的數據保護方法。

主要調查結果

影子 IT 導致雲安全變得非常複雜

根據回覆者的資料顯示，約一半（49 %）的雲服務由企業 IT 之外的部門部署，平均有 47% 存儲到雲環境的企業數據在 IT 部門的管理或控制之外。然而，對知道所有使用中的雲計算服務的信心正在增加。54% 的回覆者有信心，IT 組織知道所有使用中的雲計算應用、平台或基礎設施服務 – 與 2014 年相比增加 9%。

傳統安全實踐不適用於雲

2014 年，60% 的回覆者認為，使用雲服務更難保護機密或敏感信息。今年，有 54% 的人這樣說。很難控製或限制最終用戶訪問的人數從 2014 年的 48% 增至 2016 年的 53%。讓安全性變得困難的其他主要挑戰包括，無法為雲環境應用傳統信息安全（70% 的回覆者）和無法檢查雲供應商的安全合規性（69% 的回覆者）。

更多客戶信息被存儲到雲，被認為是最處於風險之中的數據

根據本調查，客戶信息、電子郵件、消費者數據、員工記錄和付款信息都是雲中最常存儲的數據類型。自 2014 年起，在雲中存儲客戶信息的比例從 2014 年的 53% 增至 62% 的回覆者表示公司現正這樣做。53% 的回覆者還將客戶信息視為雲中處於最高風險的數據。

當提到購買雲服務時，安全部門被蒙在鼓裡

僅 21% 的回覆者表示，安全團隊的成員參與使用某些雲應用或平台的決策流程。大部分回覆者（64%）還表示，其組織未制定要求使用安全保護措施的政策，如加密，作為使用某些雲計算應用的條件。

加密非常重要，但仍未普遍用於雲

72% 的回覆者表示，加密敏感或機密數據的能力非常重要，86% 的回覆者表示這在未來兩年會變得更加重要，比 2014 年的 79% 有所增加。儘管加密的重要性正在增長，但這仍未廣泛部署到雲。例如，作為最常見的基於雲的服務——SaaS，僅 34% 的回覆者表示，組織直接加密或令基於雲的應用內的敏感機密數據。

許多公司仍依賴於密碼保護對雲服務的用戶訪問權限

67% 的回覆者表示，在雲中管理用戶身份比內部部署更難。然而，組織未採用易於實施，並可增加雲安全性的措施。約一半（45%）的公司未使用多重身份驗證保護員工和第三方對雲中的應用和數據的訪問，意味著許多公司仍僅依賴於用戶名和密碼驗證身份。這讓更多數據處於風險中，因為 58% 的回覆者表示，組織會允許第三方用戶訪問雲中的數據和信息。

雲中的數據安全建議

新的雲 IT 現實意味著，IT 組織需為數據治理和合規性制定綜合的政策，為採購雲服務制定指南，同時確定可在雲中和不可在雲中存儲的數據規則。

通過實施加密等數據安全措施，以集中的方式保護雲中的數據，必要時將其作為內部組織的基於雲的源服務，IT 組織可以實現保護企業數據的使命，同時成為「影子 IT」的使者。

隨著公司在雲中存儲更多數據，同時採用更多基於雲的服務，IT 組織需要更關注以多重身份驗證實現更加強大的用戶訪問權限控制。對於為第三方和供應商提供對雲中數據的訪問權限的公司來說，這尤為重要。