如果你的企業(yè)有一個不稱職的管理員,你的整個云基礎(chǔ)設(shè)施都會受到威脅。那么你該采取何種保護措施呢?
通常我都是在孩子們早上上學以后寫點東西。但是今天早上,我從辦公室偷溜出來,手里拿了杯咖啡,腿上放著我的Mac。因為我從一個參加了在倫敦召開的IP Expo展會的人那里聽到了一件非常令人不安的影子IT故事,我想在飛過大西洋之前先把這件事記錄到磁盤上。
事情是這樣的:我不是一個悲觀主義者,我認為專業(yè)的IT團隊只要有信心,有自己的做事邏輯,再給他們一些時間,他們就能解決所有問題,畢竟他們擁有主動權(quán)。但是,這是一個關(guān)于云計算問題的例子,在細節(jié)很清晰的時候我們要認真探討一下。
我們都太熟悉影子IT了:它是指企業(yè)內(nèi)一些懂得相關(guān)技術(shù)的內(nèi)部人員未經(jīng)IT部門同意,甚至是違反企業(yè)政策所做的一些危險操作。你是否經(jīng)常發(fā)現(xiàn) YADBA(另一種Dropbox賬戶),盡管每個員工都簽署了不準泄露出貨單據(jù)信息的協(xié)議?幸運的是,Dropbox問題相對來說很容易解決,只需要在你的數(shù)據(jù)中心中提供一個可接受的安全文件共享應(yīng)用程序的替代方案,然后使用數(shù)據(jù)包檢測、應(yīng)用程序特征檢測或NetFlow來訪問控制列表,或者把它從企業(yè)中剔除。
上千個賬單讓IT部門無計可施
但是,我從IP Expo展會聽到的例子是,它已經(jīng)完全偏離了應(yīng)用程序使用條例,甚至是IaaS案例管理。要注意,由于其毫無預(yù)警,所以它可能發(fā)生在任何規(guī)模的企業(yè)中。
概括地說就是,一個業(yè)余網(wǎng)絡(luò)開發(fā)人員或內(nèi)容管理系統(tǒng)管理員認為他發(fā)現(xiàn)了一種讓客戶跟蹤客戶訂單的完成進度的不錯方式。他獲批得到采購訂單,然后打開了一個重要供應(yīng)商的IaaS賬戶。他還建立了一個差強人意的應(yīng)用程序,包括移動響應(yīng)布局。最后,IT還幫助他設(shè)置了一個VPN連接到他的虛擬私有云(VPC)上,這樣他就可以在公司網(wǎng)絡(luò)上訪問數(shù)據(jù)服務(wù)API。客戶很高興,管理也很方便。但是,唯一的問題是,他收到了航空公司給他的信用卡發(fā)來的飛行距離數(shù)據(jù),注意,是給他的個人信用卡。
你可能不愿意看到最后一句話,因為你知道這意味著什么。
意識到該問題嚴重性的第一個跡象并不是該管理員又干了一段時間離職去了其它公司。而是兩個月后,他的默認郵箱 [email protected]開始收到各種郵件。真正嚴重的是,超鏈接和全球范圍內(nèi)的跟蹤網(wǎng)站都下線了。起初這還沒有引起公司的恐慌,只是以為網(wǎng)站崩潰,然后找管理員來修復(fù)就可以了。但是后來這個問題一再重復(fù)發(fā)生。很快,網(wǎng)絡(luò)運營團隊意識到問題不是來自主機托管,而是在混合云中。它只是互聯(lián)網(wǎng)上的一個IP地址,現(xiàn)在沒有什么比一個完全不知道的生產(chǎn)系統(tǒng)更讓人頭疼的了。整個賬戶,包括機器實例、存儲、關(guān)系型數(shù)據(jù)庫和VPN端點已經(jīng)完全被清空了。
結(jié)果就是“賬戶戶主”刪除了他的個人賬戶信息,然后給初級IT管理員發(fā)了一封獨立的郵件,提醒他得到一個企業(yè)為其賬戶設(shè)置的卡。管理員認為他做的天衣無縫,但是在采購訂單的問題上遇到了問題。云服務(wù)提供商只保證這個賬戶安全運行了60天,然后引爆了這顆安全的定時炸彈。這時,IT部門懇求供應(yīng)商修復(fù)這個問題,但是最終得到的答案卻是:這個賬戶是個人所有,無論它連接到DNS解析還是跨網(wǎng)絡(luò)接口的標識和版權(quán),他們都沒有過戶。
錯失了“照亮”影子IT的機會
事后來看,這個問題其實應(yīng)該像讓Dropbox下線一樣容易,可能比這更簡單。除了要檢測可以清楚顯示所交易的供應(yīng)商的VPN,IT還提供了VPC VPN,并且給DNS添加了所需的新子域。他們最終失敗了不是因為他們沒有做,而是他們從一開始就不知道自己哪里不懂。他們沒有一個合理的服務(wù)審核過程,來判斷企業(yè)在云端享有的服務(wù)。這樣他們就不能跟蹤開發(fā)權(quán)限或管理權(quán)限或強制執(zhí)行的標準文檔。
幸運的是,該公司幾天后又重新上線了,因為造成這種局面的那個家伙還有的救,他在用完IT可以服務(wù)的核定存儲賬戶前做了備份。這個公司也算是比較幸運,在這個事件之后他們也做出了實質(zhì)性的改變。管理者實施了新的審計程序,并且開始認真掃描流量,以識別現(xiàn)有網(wǎng)站上的未知服務(wù),更重要的是,他們越來越懷疑影子IT了。
至于我,我知道自己回到Austin以后馬上要做的事了。
京公網(wǎng)安備 11010502049343號