Почему одного шифрования недостаточно для безопасности в облаке

Часто предполагается, что шифрование — это золотой стандарт для защиты активов в облаке. Поставщики облачных услуг заверяют, что все их сервисы «зашифрованы по умолчанию». Несколько нормативных актов и политик соответствия облачным требованиям предписывают организациям шифровать данные в состоянии покоя, в использовании и при передаче. Все это должно делать облачные среды безопасными, верно? Однако реальность немного сложнее. Многие нарушения происходят не потому, что алгоритмы шифрования слабые или потому, что злоумышленники могут их взломать. Они происходят потому, что злоумышленникам никогда не нужно этого делать. Вместо этого злоумышленники используют другие уязвимости. Доступ может быть чрезмерно разрешительным, управление ключами может быть плохо организовано, конфигурации могут быть раскрыты, и может отсутствовать общее представление о том, как данные фактически используются.