任何IT組織的首要目標都應該是讓戰略和業務保持一致。在現實世界中,IT團隊同業務部門協商,并開發出圍繞業務需求的清晰戰略。業務部門隨后等待預算審批,基礎架構構建以及安全和法規遵從控制的實現。整個流程會發費數周、數月或者數年,而且還是沒能滿足業務部門的期望。
如果業務部門發現且實施技術,沒有IT的參與會怎么樣呢?一般業務部門能否精準定義私有信息放入云端的風險嗎?這正是IT安全部門面對的現實。易用的云服務非常多,要求能夠解決的任何業務問題,只是通過點擊一下鼠標。IT安全部門必須在公司成為數據外泄新聞頭條之前,以某種方法檢測這些服務并證明身份識別的價值以及減輕與業務相關的風險。
好消息在于有很多可用的工具能夠減輕基于云的服務的風險,包括這樣的一些功能,預服務、聯合身份認證和管理虛擬基礎架構。壞消息在于沒有足夠的產品能夠監控或者阻止未認證的云服務的使用。然而,企業可以使用現有的安全技術和控制協助迅猛的云服務大潮。
監控和檢測云服務的第一種方法就是利用目前現有的投資,主要是網絡過濾、下一代防火墻或者數據丟失保護(DLP)產品。這些系統已經存在于網絡中,組織包含私有信息的流量或者檢測訪問不適當的網站。DLP系統尤其有用,由于它們可以使用中間人技術監控SS了加密的流量。DLP和網絡過濾系統可能已經定義了配置來檢測或者存取對于基于云的文件共享網站的訪問,比如Dropbox和GoogleDrive。這些定義文件需要修改才能允許其他潛在基于云的服務的檢測。
有好多云服務的注冊提及能夠協助構建自定制定義,無論是對于DLP還是網絡過濾系統。然而,用這些注冊構建自定制定義屬于勞動密集型工作,因為有很多潛在的云提供商可以選擇。為了讓這條途徑變得容易,優先考慮關注業務最可能使用的云提供商。安全軟件廠商最可能添加的云提供商注冊到未來DLP或者網絡過濾產品中的,但是同時,檢測仍舊是一種人工流程。
如果安全團隊預算有限,無法訪問這種類型的工具,也有其他更好的開源選擇。對于很多受限于預算的安全專業人士來說工具的選擇就是入侵檢測系統(IDS)Snort,開源版本,包括可以運行任何舊的PC到第一類IDS機器的免費規則。Snort真正厲害的地方在于其能夠輕松增加自定制規則來符合環境。這個規則通常被插入本地規則文件,包含在默認的Snort安裝中。
這條規則能夠在任何端口上檢測任何端口對于IT地址67.192.1.7的任何TCP訪問。這條IP地址映射了Rackspace服務的管理門戶。以這種方式配置Snort對IT團隊提出提示的是,無論什么時候員工內部網絡訪問Packspace門戶來管理基于云的服務。
下一代防火墻、網絡過濾、DLP和IDS系統都是監測訪問基于云的服務的很好的工具。然而,他們都是內聯工具,假設用戶從企業內部訪問互聯網連接。如果用戶用移動設備在自己的互聯網連接中訪問未批準的基于云的服務,IT必須使用不同的方法來檢測。
IT安全團隊需要同業務部門合作來教育用戶使用未批準的云服務的風險,并圍繞構建和管理構建強有力的策略。這種方法的價值永遠不會被看輕。這些基于云的服務正在成為業務的一大項花銷,因此財務控制也應該創建。財務控制可以輕松實現,以為內他們更加敏感且相對于潛在風險場景更易于對業務部門解釋。這些控制應該包括要求IT回顧的策略,財務和法律。創建這樣的合作伙伴關系也將協助重構搖擺不定的IT業務戰略,讓二者保持一致,因為業務部門在IT部門之外購買東西。
用戶在企業中訪問未批準的云服務的問題,很可能隨著云應用成為更加可負擔且為廣大用戶可訪問的服務而逐漸增長,IT安全團隊應該考慮在成熟企業中利用已有的工具。限制后續資金對于新技術的需要,最好的選擇就是解決這個問題,包括構建IT業務之間的關系,是值得在這個問題之外奮斗的事情。
京公網安備 11010502049343號