遷移到云端可以幫助企業(yè)加快IT交付、提高業(yè)務(wù)敏捷性,但是可能也會(huì)帶來(lái)敞開的安全漏洞,讓公司暴露在網(wǎng)絡(luò)攻擊面前。這意味著在云端運(yùn)作的企業(yè)組織現(xiàn)在必須解答這些問(wèn)題:“什么云服務(wù)器遭到了攻擊,我如何才能知道?”
遺憾的是,答案并不容易獲得。像防火墻和入侵檢測(cè)系統(tǒng)這些傳統(tǒng)的安全工具在企業(yè)組織內(nèi)部使用時(shí)效果很好,可是面對(duì)云環(huán)境時(shí),它們沒(méi)有多大幫助。虛擬基礎(chǔ)設(shè)施具有的彈性和動(dòng)態(tài)性使得安全團(tuán)隊(duì)很難看到云端發(fā)生的情況。而要是沒(méi)有這種可見(jiàn)性,它們不可能執(zhí)行一致的政策、發(fā)現(xiàn)漏洞,并迅速應(yīng)對(duì)異常行為。
想得到云服務(wù)提供商的幫助?那只能為你解決一部分問(wèn)題。云服務(wù)提供商通常不保護(hù)虛擬機(jī)管理程序?qū)又系娜魏蜗到y(tǒng),所以做好安全主要是你的責(zé)任。假設(shè)你想在云端啟用一臺(tái)Windows 2000服務(wù)器或紅帽Linux。為那些實(shí)例確保安全是你的工作,而不是云服務(wù)提供商的工作。
這就是所謂的“分擔(dān)責(zé)任”模式,所有云服務(wù)提供商無(wú)不在大聲吆喝這種模式。亞馬遜網(wǎng)絡(luò)服務(wù)是這么說(shuō)的:“雖然AWS管理云安全,但做好云安全是客戶的責(zé)任。客戶仍然控制著選擇實(shí)施什么好的安全機(jī)制,保護(hù)自己的內(nèi)容、平臺(tái)、應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò),這跟他們保護(hù)現(xiàn)場(chǎng)數(shù)據(jù)中心中的應(yīng)用程序沒(méi)什么兩樣。”
似乎夠直截了當(dāng)。但是許多消費(fèi)者仍然感到困惑。他們認(rèn)為,因?yàn)閬嗰R遜擁有保護(hù)直至虛擬機(jī)管理程序這一層的種種出色工具,因而自己完全安全。可是他們沒(méi)有認(rèn)識(shí)到,做好他們選擇啟用的云實(shí)例的安全性永遠(yuǎn)是自己的責(zé)任。無(wú)論你在公有云運(yùn)作還是在傳統(tǒng)數(shù)據(jù)中心運(yùn)作,仍需要繼續(xù)實(shí)現(xiàn)一些關(guān)鍵的控制目標(biāo),包括數(shù)據(jù)保護(hù)和威脅管理。
云安全薄弱釀成的后果可能很嚴(yán)重。我記得一家名為Code Spaces的公司在黑客全面訪問(wèn)其托管在云端的網(wǎng)絡(luò)后,被迫關(guān)門歇業(yè)。黑客索要贖金,而Code Space拒絕支付。然后,黑客刪除了Code Spaces的所有重要數(shù)據(jù),實(shí)際上搞垮了這家公司。
這就是你在云端保護(hù)自己所面臨的困境:你對(duì)看不見(jiàn)的東西自然無(wú)法確保其安全。因而,獲得實(shí)時(shí)可見(jiàn)性至關(guān)重要,對(duì)希望充分利用云基礎(chǔ)設(shè)施許多不同優(yōu)點(diǎn)的企業(yè)組織來(lái)說(shuō)更是如此。而隨著企業(yè)組織使用更多的云:公有云、私有云或混合云,并與內(nèi)部數(shù)據(jù)中心(不會(huì)很快就會(huì)消失)結(jié)合起來(lái),情況就只變得更加復(fù)雜。
那么,你如何才能獲得云端可見(jiàn)性,并確保自己安全呢?不妨先明白這一點(diǎn):做好安全是你的責(zé)任,然后堅(jiān)持遵守這五個(gè)最佳實(shí)踐。
1. 持續(xù)可見(jiàn)性。隨時(shí)知道你的基礎(chǔ)設(shè)施、應(yīng)用程序、數(shù)據(jù)和用戶方面出現(xiàn)的情況。由于現(xiàn)代虛擬基礎(chǔ)設(shè)施具有自動(dòng)化、彈性、按需的性質(zhì),獲得這種可見(jiàn)性可能是個(gè)挑戰(zhàn)。但是如果隨時(shí)知道自己有什么及其運(yùn)行情況,就能減小受攻擊面,并降低風(fēng)險(xiǎn)。
2. 風(fēng)險(xiǎn)管理。這意味著為你的可見(jiàn)性添加具體環(huán)境。一旦你獲得了可見(jiàn)性和透明性,就能成功地消除已知存在于網(wǎng)絡(luò)里面的明顯的安全漏洞,比如過(guò)期的工作站和移動(dòng)設(shè)備。
3. 強(qiáng)有力的訪問(wèn)控制。實(shí)際上,薄弱的訪問(wèn)控制導(dǎo)致了最近的許多重大安全事件,包括臭名昭著的Ashley Madison黑客事件。Ashley Madison首席執(zhí)行官本人表示,內(nèi)部人員實(shí)施了這起黑客行為,很可能是第三方的合同工,他被授予了過(guò)高的訪問(wèn)權(quán)限。所以,確保你落實(shí)了合適的訪問(wèn)管理和權(quán)限監(jiān)控機(jī)制。還要確保在不斷監(jiān)控用戶活動(dòng),保證根本沒(méi)有違反公司政策。
4. 數(shù)據(jù)保護(hù)。這是另一項(xiàng)必要工作。這意味著要既要保護(hù)靜態(tài)數(shù)據(jù),又要保護(hù)傳輸中數(shù)據(jù),還要部署數(shù)據(jù)丟失防護(hù)(DLP)之類的技術(shù),確保萬(wàn)一受到危及,你的數(shù)據(jù)無(wú)法被發(fā)送到網(wǎng)絡(luò)外面。
5. 威脅管理。你必須接受這一事實(shí):哪怕再嚴(yán)格的安全做法也無(wú)法始終防范得了所有安全事件。安全事件會(huì)發(fā)生。所以準(zhǔn)備好果真發(fā)生后,緩解風(fēng)險(xiǎn)。要落實(shí)相應(yīng)的流程和技術(shù),讓你能夠迅速應(yīng)對(duì),并且化解安全事件,以免勢(shì)態(tài)失控。在安全事件發(fā)生之前制定好行動(dòng)方案,然后一旦發(fā)現(xiàn)了安全事件,就嚴(yán)格遵守。
如果你無(wú)法隨時(shí)迅速準(zhǔn)確地看到你整個(gè)基礎(chǔ)設(shè)施上發(fā)生的情況,很可能不知道何時(shí)遭到了攻擊或危及,因而等你有所反應(yīng)時(shí)已為時(shí)太晚。等到網(wǎng)絡(luò)已被大火夷為平地,才拿著水管去滅火無(wú)事無(wú)補(bǔ)。你需要持續(xù)的可見(jiàn)性,并且輔以全面的安全功能。這些是改善安全狀況的必要步驟,在面對(duì)具有動(dòng)態(tài)性和彈性的現(xiàn)代云計(jì)算環(huán)境時(shí)更是如此。
京公網(wǎng)安備 11010502049343號(hào)