目前,云計算已成為幾乎每一家企業IT戰略和組織架構中不可或缺的一部分了,所以企業相應的運行成本也在越來越多地轉嫁至第三方,而由第三方來管理和維護企業的內部服務。
云計算服務供應商現在也在提供多元化的服務,其中包括薪資、招聘、績效管理、培訓以及存儲等。隨著平均計算成本的不斷降低,對于技術專業知識及其相關資源的需求卻在不斷增長,這主要是由于服務消費者和服務供應商之間互聯性需求而造成的。
由于云計算的影響,各個行業條線的安全從業人員都處在一個與他們的IT同行們不同的獨特位置。鑒于后者的控制與責任范圍往往局限于企業辦公室和數據中心,而安全從業人員則還必須考慮通常被稱為云計算的第三方網絡以及他們控制范圍以外的設備。無論你是一名管理著安全專業人士技術團隊的首席信息安全官,還是一名負責確保企業關鍵資產安全性的安全工程師,掌握云計算知識已經成為成功保護企業用戶、數據以及基礎設施的基本素質要求了。
當然,在安全專業人士保護與云計算相關的資產之前,他們可能需要回答一個貌似非常簡單的問題。即,何為云計算?在本文中,我們將從現有的云計算定義入手,然后從企業安全專業人士的角度出發討論一下這些云計算定義之間的空白點。
重新評估目前的云計算定義
雖然我們這里討論的只是一些寬泛的云計算定義,但是安全專業人士還是應當牢固掌握云計算技術而不僅僅是模糊的概念,這一點是非常重要的。國家標準和技術研究院(NIST)實際上提供了一個有用的云計算定義,具體如下:“云計算是一個模型,這個模型可以方便地按照需求訪問一個可配置的公共計算資源池(例如,網絡、服務器、存儲設備、應用程序以及服務等)。這些資源可以被迅速地提供并發布,同時這個模式也能夠實現管理成本或服務提供商干涉的最小化。”NIST還打破了云計算模式的本質特征、服務模式以及部署模式。下表給出了該模式的概觀:
一些分析人士和供應商則給出了云計算的一個狹義定義,即云計算是效用計算的一個升級版(基本上就是指互聯網中可用的虛擬服務器)。而其他的安全人士則擴展了上述這個狹義定義,他們認為任何在企業防火墻外被使用的資源都是“云計算”,甚至它還包括了常規的外包服務。
這些定義都是有用的,但是我們也在其中發現了若干明顯的定義空白點。例如,近年來業務環境最具革命性的變化之一BYOD(使用你自己的設備)就不在我們的討論范圍內。通過實施BYOD策略 ,傳統消費者和/或私有網絡(如家庭或小型企業)就可擴展至大型企業設置。家庭網絡也具有NIST云計算定義中的所有要素,并處于企業防火墻外,但是安全從業人員是否會把家庭網絡視為云計算的一部分的呢?
在這種情況下,區分云計算與BYOD和家庭網絡的判別依據就是位置、控制范圍以及合同義務。這里,NIST所定義的服務模式是通過合同提供的一定程度的義務,而BYOD則主要依靠用戶自己的系統運行。例如,如果我的家庭網絡遭到了破壞,那么我沒有義務需要向我的雇主報告相關破壞情況信息,即便我的設備正在通過VPN連接訪問公司的資產。如果我雇主的網絡也因此受到損害,我將不會承擔破壞或損害通知的責任,同時我的雇主也不會知道是誰訪問了我們的家庭計算機網絡。
為提供全面的保護,IT安全團隊還必須考慮這些擴展的、員工擁有的基礎設施——我們稱其為消費者即服務(CaaS)基礎設施,同樣重要的是,將它們默認為不可信任,而且也應在這個默認假設的基礎上制定相關企業控制和應對措施。這些CaaS基礎設施將需要一個類似于其他混合云計算實施的安全態勢。
顧名思義,深網絡或暗網絡將在這些云計算定義之間出現另一個空白。不適用于現代搜索引擎,這一區域的互聯網是安全從業人員的衣食父母,也是受破壞分子影響的禍根。隱蔽渠道的深網絡結構和以較小成本按需擴展的加密分布式文件系統都使其變得相當費解。這一威脅即服務(TaaS)的模式可按需從攻擊者的家或受害的基礎設施處擴展,提供惡意行為能力并以流量克服易受攻擊的目標,而無論其所處的地理區域或行業。
出于這一討論的目的,我們還必須考慮惰性云計算,這也是我們云計算定義中最后的安全空白。考慮它是因為我們對管理它的法律法規基本沒有任何影響力,而它又包括了政府、警察和法規等實體。盡管我們對它們的控制力非常有限,企業還是必須遵守(或成功規避)這些惰性實體或直面從互聯網被刪除的現實。
互聯網(如注冊商、ISP、電信實體等)是一個以相互包容關系包含子網系統的超集合系統:他們之間是絕對相互依存的關系。因此,我們必須針對整個系統進行考慮以確保端到端的保護。以下是NIST的云計算圖表,該圖已被更新以反映填滿空白的完整云計算系統。
檢查云計算活動
正如我們之前的討論,云計算通常是一個定義模糊的概念,即便是NIST這樣一個受人尊敬的大型機構也會出現空白。 但是,根據我們提供的更新定義,安全從業人員應當考慮重新評估他們的IT環境以及之前我們所提及的一些問題。我們希望,我們所提供的新定義可為大多數企業所需的保護提供一個針對企業基礎設施的內省和洞察意見。
京公網安備 11010502049343號