在Capital One违规之后，你知道你的云中有谁吗?

 
最近报告的Capital One数据泄露再次将技术世界的注意力转向云安全。很多猜测都是该行业可以推测究竟发生了什么以及事件是如何发生的。起诉书含糊不清，公司处于公关危机模式。
我们不要把这段时间浪费在猜想上。在每个人都在倾听时，重点关注令人不舒服但完全有效的云安全问题。
云平台安全性中的大象是客户不知道哪些云提供商员工被委托对云本身进行管理级访问的固有问题。云客户X不知道云提供商Y的员工姓名，他们在屈服于道德失败后，理论上可能会滥用特权知识，凭据或内部云提供商工具，以便不恰当地访问，复制或以其他方式与云客户X进行交互配置系统或存储数据。
需要明确的是，没有任何迹象表明Capital One违规是内幕访问或特权知识滥用的结果。虽然被指控的犯罪者之前的工作历史包括亚马逊网络服务(云服务提供商从哪个数据下载)的就业，但是，任何有互联网连接的人都可以获得实现所谓的不法行为所需的云服务专有技术。好奇心。
相反，我们需要从更广泛的意义上谈论云平台安全性。我们需要确保高管何时签署虚线并同意将他们自己的客户数据置于其他人的控制之下，以便他们了解云平台安全的明显权衡现实，而不是神话。
简而言之，将操作迁移到云空间意味着您将自己置于云主机的支配之下。最终，云提供商可以拿起他们的球回家，让您的企业陷入困境。这样做可能违反了律师打字和双方同意的一些话。但这些话并不能阻止云提供商的流氓分包商滥用可信访问 – 云客户很可能永远不会知道。
对于这种情况，没有简单的修复方法。但是，在引发非常重要的对话之前，等待云平台内幕滥用的公开例子被公开所知是愚蠢的，即使云提供商对云用户认识和不安的主题感到不舒服。