图片由罗兰顾Unsplash

云需要更多的阳光

Twitter只不过是最新的一个提醒,提醒人们云仍是多么支离破碎

我们最近了解到近1 / 4的Twitter员工可以访问客户账户.这种访问权限包括锁定和解锁账户、查看直接消息以及更改电子邮件地址。

正如我们在Twitter上看到的,没有问责制的访问是有问题的,但即使有问责制,内部威胁仍然是一个问题。软件公司需要彻底重新考虑员工准入问题。

并不是只有Twitter能做到这一点。SaaS公司的员工访问敏感客户数据是非常常见的。这里我不仅仅是在谈论他们的联系信息,我还在谈论他们存储在SaaS供应商那里的数据。

在我工作过的销售企业云软件的地方,大多数客户支持、运维、devops、工程和专业服务都能够访问客户数据,或者在特定客户的环境中进行操作。

我不认为这种权限被普遍滥用。它被用来帮助客户解决问题,理解问题,调试软件,并提供服务。我们有系统可以进入,记录员工查看客户数据和他们查看的内容。

如果没有人监控访问日志是没有用的

但问题是,谁在看这些日志?我不认为他们在我工作的地方被定期监控。而且这些日志肯定没有发布给客户。

访问日志只有在被监控时才有用。在很多情况下,他们并不是,客户也不知道谁在他们的账户里。

当人们认为他们可以做些什么而没有人会注意到的时候,责任就消失了,即使在某个地方有记录。

Twitter高调账户被接管的尴尬时刻,只是一种极端而明显的滥用迹象。但在那之前,Twitter的员工就已经监视著名推特用户的私人信息

Twitter知道这是个问题。

“2018年9月,就在他向参议院情报委员会作证前不久,我私下会见了Twitter的首席执行官杰克·多尔西。在那次谈话中,多尔西告诉我,该公司正在研究端到端加密的直接消息。我们的会议已经过去近两年了,而Twitter的dm仍未加密,这使得它们容易受到滥用公司系统内部访问权的员工和获得未经授权访问权的黑客的攻击。——参议员罗恩·怀登

twitter能做些什么呢?

Twitter是灾难的根源,原因有二:

  1. 特权用户可以访问私有数据。
  2. 用户无法知道这是什么时候发生的。

没有透明度,就没有问责制。没有问责制,就没有信任。

Twitter是一个引人注目的例子,但我坚信,这些问题在商业世界中同样事关重大。企业信任他们的数据给亚马逊、微软、Salesforce和其他数千家云提供商。更复杂的,比如我提到的那些,会采取额外的措施来防止好奇或恶意的内部人士。

例如,谷歌最近发布了GCP访问透明度,这样公司就可以知道GCP管理员何时访问了他们的数据(除非FISA法庭命令迫使他们保密,在这种情况下,他们会保留这些日志)。该特性还允许客户在访问之前批准支持工程师的访问。

不幸的是,谷歌只向具有高级支持级别的企业客户提供此功能。即使这样,它也不是默认打开的你必须请求支持才能打开它

想要GCP访问透明度的企业客户必须提出要求。

是时候让软件做得更好了

阳光是最好的解药。当客户可以看到他们的数据是如何被访问的,他们就可以对这些信息做出反应。当云计算供应商的员工知道客户将看到他们访问自己的数据时,他们的行动就会更加负责,也更加谨慎。

可以归结为SaaS信任模型.买家需要了解和理解这些模型,以便做出明智的决定。

当存在潜在的敏感信息时,完全信任模型不再是默认值。端到端加密和零信任模型是理想的,但是还有一系列的选项,包括信任-但验证模型,它正在迅速成为企业的标准请求。

如果不是以跳跃的方式,那么是时候逐步转向更强大的信任模型了。没有验证的完全信任是一锅有毒的炖汤。

力量越大,诱惑越大。Twitter展示了这一点,但如果你仔细观察,同样的动态无处不在。但我们可以解决它。

咸的散列

关于构建安全的提示、技巧、指针和透视图…

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

媒介是一个开放的平台,1.7亿读者可以在这里找到深刻和动态的思考。在这里,专家和未被发现的声音同样会深入任何话题的核心,并带来新的想法。了解更多

关注与你有关的作家、出版物和主题,你会在你的主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,有观点要提供,欢迎回家。发布你对任何话题的想法都是很容易和免费的。写在媒介

获取媒体应用程序

有一个“在App Store上下载”的按钮,点击它就会引导你进入iOS App Store
一个按钮,上面写着“Get it on,谷歌Play”,如果点击它,你就会进入谷歌Play商店