物聯(lián)網(wǎng)(IoT)在云端的應(yīng)用為云安全帶來了一個(gè)棘手的問題。大多數(shù)組織只考慮設(shè)備本身的安全問題,而不是通過云計(jì)算提供的服務(wù)來考慮潛在的漏洞。然而,由于所有的數(shù)據(jù)都是通過物聯(lián)網(wǎng)設(shè)備收集的,組織將發(fā)現(xiàn)利用云服務(wù)可能是減輕他們內(nèi)部基礎(chǔ)設(shè)施壓力的最好方法。但這開啟了一個(gè)全新的蠕蟲病毒世界——專家們建議,企業(yè)應(yīng)該將云安全放在首位,并且刻不容緩,以防止代價(jià)昂貴的違規(guī)行為。
根據(jù)SystemExperts公司高級(jí)顧問Paul Hill的說法,物聯(lián)網(wǎng)設(shè)備將根據(jù)其環(huán)境進(jìn)行監(jiān)控,通信和響應(yīng)。雖然許多物聯(lián)網(wǎng)設(shè)備都是以消費(fèi)者為導(dǎo)向的,但更多的企業(yè)正在為各種應(yīng)用而采用物聯(lián)網(wǎng)設(shè)備。
“在企業(yè)網(wǎng)絡(luò)上出現(xiàn)的物聯(lián)網(wǎng)設(shè)備數(shù)量將會(huì)翻一番,甚至增加一個(gè)數(shù)量級(jí),”Hill說。收集和分析這些信息將很容易超過大多數(shù)IT部門的內(nèi)部服務(wù)器能力,促使組織采用云數(shù)據(jù)中心的服務(wù),但是這樣為其帶來了風(fēng)險(xiǎn)。
在引入物聯(lián)網(wǎng)之前先進(jìn)行網(wǎng)絡(luò)控制
云計(jì)算安全聯(lián)盟(CSA)已經(jīng)組建了一個(gè)工作組來提供最佳實(shí)踐,專家們提供了一些自己的建議,以防止云計(jì)算安全成為物聯(lián)網(wǎng)部署中的薄弱環(huán)節(jié):處理流量,了解云服務(wù)周邊設(shè)備的安全性,等等。
例如,Hill建議將物聯(lián)網(wǎng)流量與其他網(wǎng)絡(luò)流量隔離。他說,“正如大多數(shù)安全機(jī)構(gòu)將其數(shù)據(jù)流量與其語音流量隔離一樣,物聯(lián)網(wǎng)流量也應(yīng)與其他網(wǎng)絡(luò)流量隔離。”并指出可以使用物聯(lián)網(wǎng)網(wǎng)關(guān)來實(shí)現(xiàn)此目的。
此外,物聯(lián)網(wǎng)的網(wǎng)絡(luò)流量需要在被隔離后進(jìn)行監(jiān)控和管理,就像網(wǎng)絡(luò)上的任何其他流量一樣。“許多企業(yè)對(duì)于物聯(lián)網(wǎng)設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量和他們可能訪問的云服務(wù)缺乏完整的了解。”Hill說,“將需要工具來檢測(cè)是否使用受損或采用非托管設(shè)備來訪問云服務(wù),以及驗(yàn)證敏感的物聯(lián)網(wǎng)數(shù)據(jù)和系統(tǒng)是否得到安全處理。”
可以從DNS,防火墻和Web代理日志中收集有關(guān)流量的一些信息。但是,應(yīng)該考慮更為先進(jìn)的工具,如入侵檢測(cè)系統(tǒng),入侵防御系統(tǒng)和云訪問安全代理系統(tǒng)。
使用前檢查云計(jì)算基礎(chǔ)設(shè)施
像AWS這樣的云基礎(chǔ)架構(gòu)是使用它來管理其物聯(lián)網(wǎng)設(shè)備的組織的另一個(gè)關(guān)注點(diǎn)。在Ayden公司和Bugcrowd公司擔(dān)任顧問的網(wǎng)絡(luò)安全專家Paul Moreno表示:“雖然企業(yè)盡可能多地努力加強(qiáng)應(yīng)用程序,但仍有許多安全控制措施能夠被攻擊者所破解。”
其他支持基礎(chǔ)設(shè)施(如GitHub)如果沒有適當(dāng)?shù)目刂疲赡軙?huì)出現(xiàn)漏洞,Moreno說,“也許是忘記鎖定S3桶權(quán)限,或在公共存儲(chǔ)庫檢查敏感的代碼。”
關(guān)注安全維護(hù)程序
Cybrary公司的網(wǎng)絡(luò)安全專家Jeff Man說,如果沒有維護(hù),監(jiān)控和回應(yīng),云計(jì)算安全控制措施的實(shí)施可能沒有成效。他表示,盡管安全性的責(zé)任被傳遞給了云計(jì)算提供商,但有人仍然需要負(fù)責(zé)訪問控制,流量過濾,安全配置,數(shù)據(jù)保護(hù),病毒保護(hù)以及其他事件監(jiān)控,響應(yīng)和預(yù)防。
大多數(shù)云計(jì)算服務(wù)提供商將在服務(wù)級(jí)別協(xié)議中規(guī)定安全措施。“我所知道的主要問題是客戶認(rèn)為云計(jì)算提供商提供的安全控制比實(shí)際提供的更多。”Man說。他建議企業(yè)將業(yè)務(wù)遷移到云端,仔細(xì)閱讀服務(wù)等級(jí)協(xié)議(SLA),并確保他們知道云計(jì)算提供商需要維護(hù)哪些安全控制,以及哪些安全控制必須企業(yè)自己實(shí)施。
“云安全和物聯(lián)網(wǎng)的重疊為安全供應(yīng)商提供了機(jī)會(huì)。”Man說。這些供應(yīng)商大多集中在開發(fā)可在云端提供的安全控制和服務(wù),并覆蓋未知和已知的物聯(lián)網(wǎng)設(shè)備。檢測(cè)是第一個(gè)組成部分,因?yàn)榻M織不能保護(hù)他們不了解的內(nèi)容,其次是進(jìn)行安全測(cè)試和漏洞識(shí)別。
Man說,“采取積極主動(dòng)和強(qiáng)制執(zhí)行的訪問控制,合法的系統(tǒng)和用戶清單,配置和補(bǔ)丁管理是企業(yè)需要的必要條件。”
對(duì)于物聯(lián)網(wǎng)(IoT)使用云服務(wù)的企業(yè)來說,盡可能采用更多的安全措施至關(guān)重要。需要了解誰來負(fù)責(zé)安全性,云計(jì)算提供商提供的內(nèi)容,以及自己網(wǎng)絡(luò)上已有的內(nèi)容,這將大大有助于防止違規(guī)行為,幫助他們有效地抵御黑客。
京公網(wǎng)安備 11010502049343號(hào)