摘要:隨著云數(shù)據(jù)中心技術(shù)變革步伐的加快,在云數(shù)據(jù)中心中,需要進(jìn)行變革的項(xiàng)目清單也變得越來(lái)越長(zhǎng)。這一項(xiàng)目清單包括物聯(lián)網(wǎng)、創(chuàng)新、大數(shù)據(jù)、移動(dòng)化、社交訪問(wèn)以及SDN/NFV。變化總是有風(fēng)險(xiǎn)的。而快速變化的風(fēng)險(xiǎn)更大,其留給變更管理和變更技術(shù)檢查的時(shí)間也就變得更少。有CSO提出了一個(gè)涉及到云數(shù)據(jù)中心的變革有關(guān)的所普遍存在的風(fēng)險(xiǎn)問(wèn)題,以及鑒于這些風(fēng)險(xiǎn)的的存在,為維護(hù)數(shù)據(jù)安全的技術(shù)問(wèn)題。
云數(shù)據(jù)中心變革的所普遍存在的風(fēng)險(xiǎn)
物聯(lián)網(wǎng)設(shè)備是相當(dāng)微小的,這要求那些當(dāng)前自己無(wú)法找到行之有效的操作系統(tǒng)和軟件的供應(yīng)商們必須自行編寫(xiě)定制化的代碼,Rook Security公司的信息安全分析師Mat Gangwer表示說(shuō)。“攻擊者經(jīng)常逆向工程軟件,以發(fā)現(xiàn)因?yàn)槿狈Υa控制和質(zhì)量保證所導(dǎo)致的安全漏洞。”Gangwer解釋說(shuō)。而這只是物聯(lián)網(wǎng)安全漏洞的一種。
越來(lái)越多的物聯(lián)網(wǎng)設(shè)備、設(shè)備類型、數(shù)據(jù)類型,使得來(lái)自這些設(shè)備的流量到達(dá)云數(shù)據(jù)中心以待處理的越來(lái)越多,從而也就造成了管理怎樣的設(shè)備與實(shí)體進(jìn)行了通信交流也越來(lái)越具有挑戰(zhàn)性。“由于設(shè)備無(wú)序擴(kuò)張的本性,再加上有著如此眾多不同的操作系統(tǒng),以及物聯(lián)網(wǎng)設(shè)備的復(fù)雜性和生產(chǎn)廠商所供應(yīng)的連接到物聯(lián)網(wǎng)游戲的產(chǎn)品數(shù)量之多,使得想要很好的維護(hù)命令和控制這些資產(chǎn)很快變得幾乎不可能。” Armor公司(前身為FireHost公司)的Threat Intelligence Lead部門(mén)的Chase Cunningham博士表示。
企業(yè)的創(chuàng)新正在超過(guò)物聯(lián)網(wǎng)在云數(shù)據(jù)中心的創(chuàng)新。他們經(jīng)常雇用服務(wù)承包商在云中開(kāi)發(fā)創(chuàng)新的應(yīng)用程序。為此,他們采用虛擬機(jī)建立了開(kāi)發(fā)資源。這是很好的。因?yàn)檫@使得這些開(kāi)發(fā)的系統(tǒng)在真正被開(kāi)發(fā)出來(lái)后的確是現(xiàn)實(shí)可行的。但這往往造成了不必要的虛擬機(jī)蔓延和安全攻擊面,而企業(yè)甚至可能都沒(méi)有意識(shí)到這些安全攻擊面存在于哪里、但其實(shí)它們是開(kāi)放且脆弱的。“那些機(jī)器待在那里等待被告知應(yīng)執(zhí)行什么任務(wù),為某些人提供了一個(gè)攻擊企業(yè)的途徑。“在過(guò)去幾年里,已經(jīng)發(fā)生了幾次嚴(yán)重的違規(guī)行為了。” Cunningham說(shuō)。
相應(yīng)的也有某些安全違規(guī)是由大數(shù)據(jù)分析、處理和基礎(chǔ)設(shè)施技術(shù)所導(dǎo)致的,這些為都為攻擊者以知識(shí)產(chǎn)權(quán)的形式提供了動(dòng)機(jī),一種讓他們更有把握從其入侵企業(yè)的手段。諸如Hadoop和MapReduce等大數(shù)據(jù)工具,是相對(duì)較新的工具,具備額外的動(dòng)態(tài)入口和出口點(diǎn),而非法雇用的黑客對(duì)于這些安全漏洞再清楚不過(guò)了。 “在沒(méi)有比這能夠讓黑客獲得一個(gè)立足點(diǎn)站穩(wěn)腳跟后,對(duì)企業(yè)造成損害更好的資源了。” Cunningham說(shuō)。
當(dāng)提及該動(dòng)態(tài)入口和出口點(diǎn)時(shí),移動(dòng)和社交云數(shù)據(jù)訪問(wèn)是進(jìn)入到云數(shù)據(jù)中心的一個(gè)巨大的門(mén)口。隨著越來(lái)越多的社交惡意軟件和攻擊者通過(guò)移動(dòng)設(shè)備或社交媒體進(jìn)行網(wǎng)絡(luò)攻擊,現(xiàn)如今,移動(dòng)設(shè)備和社交媒體已經(jīng)成為可以直接威脅企業(yè)數(shù)據(jù)安全的一大隱患。 “而攻擊黑客們所需要做的工作就是在您企業(yè)的環(huán)境中監(jiān)運(yùn)行一款惡意代碼,同時(shí)將其同步到他們的Google Drive,這其中就包含了您公司的相關(guān)數(shù)據(jù)信息,那么就完蛋了,這一切即不違反您企業(yè)的終端管理,而無(wú)需通過(guò)惡意軟件掃描,也沒(méi)有使用網(wǎng)絡(luò)釣魚(yú)電子郵件。”Cunningham說(shuō)。
移動(dòng)設(shè)備并非黑客唯一可以采取的無(wú)需花費(fèi)太多功夫就可以造成大規(guī)模安全漏洞被攻擊的攻擊向量。SDN和NFV將大量的網(wǎng)絡(luò)控制交付給軟件進(jìn)行處理。在這些環(huán)境中,攻擊者只需要修改一些代碼來(lái)獲得某些密鑰甚至影響到整個(gè)企業(yè)網(wǎng)絡(luò)的資源,Cunningham說(shuō)。 “然后,他們就可以將流量劫持到任何地方,如果他們?cè)敢獾脑挘麄兛梢允褂锰摂M路由器或交換機(jī)端口關(guān)閉整個(gè)數(shù)據(jù)流。”Cunningham說(shuō)。
在這個(gè)變化的環(huán)境中保障數(shù)據(jù)安全
為了保護(hù)物聯(lián)網(wǎng)設(shè)備的新興負(fù)載,以及由這些設(shè)備所創(chuàng)造和傳遞的數(shù)據(jù),企業(yè)必須首先針對(duì)這些設(shè)備將如何構(gòu)建和落實(shí),進(jìn)而影響云資源,設(shè)置嚴(yán)格的控制政策和方法,Cunningham說(shuō)。為了評(píng)估實(shí)施這些管理政策所導(dǎo)致的變化,企業(yè)必須在建立起了相應(yīng)的管理政策之后,不斷地更新其技術(shù)。除非知道其是如何開(kāi)始的,否則企業(yè)根本不知道發(fā)生了什么改變。企業(yè)應(yīng)對(duì)每臺(tái)設(shè)備是如何進(jìn)行通信的進(jìn)行分類目錄,無(wú)論其是否通過(guò)藍(lán)牙連接網(wǎng)絡(luò)的。“如果您對(duì)于您企業(yè)的基礎(chǔ)設(shè)施看起來(lái)像什么樣都沒(méi)有一個(gè)很好的了解的前提下就開(kāi)始整 個(gè)云基礎(chǔ)架構(gòu)的擴(kuò)展部署,那么您在控制權(quán)之爭(zhēng)的戰(zhàn)斗中已經(jīng)失敗了。”Cunningham說(shuō)。
為了防止外包的開(kāi)發(fā)人員在每一次創(chuàng)新中都創(chuàng)建一個(gè)新的攻擊向量,企業(yè)應(yīng)了解其基礎(chǔ)設(shè)施在這些項(xiàng)目之前期間和之后的樣子。這樣一來(lái),企業(yè)就可以確保在相關(guān)的項(xiàng)目完成、關(guān)閉或刪除之后,這些基礎(chǔ)設(shè)施不會(huì)繼續(xù)停留;而所有為項(xiàng)目需要而創(chuàng)建的開(kāi)口,無(wú)論是開(kāi)發(fā)人員的虛擬機(jī)或遠(yuǎn)程登錄憑據(jù)都會(huì)被關(guān)閉。
為了關(guān)閉通往企業(yè)大數(shù)據(jù)資源的大門(mén),企業(yè)應(yīng)通過(guò)要求雙因素身份驗(yàn)證以保護(hù)有共同點(diǎn)的脆弱的安全漏洞,如采用登錄屏幕和憑據(jù)。監(jiān)測(cè)也可以提供幫助。“監(jiān)控那些對(duì)于大數(shù)據(jù)存儲(chǔ)庫(kù)的異常訪問(wèn)。” Cunningham說(shuō)。
因?yàn)樵S多大數(shù)據(jù)技術(shù)都是為了方便企業(yè)用戶開(kāi)箱即用的需求,具有其通達(dá)性和便利性,因而這方面需要進(jìn)行一些定制化,以確保配置設(shè)置正確,能夠適當(dāng)?shù)劓i定這些工具,Gangwer說(shuō)。
此外,大數(shù)據(jù)需要充分利用云數(shù)據(jù)復(fù)制的優(yōu)勢(shì),將數(shù)據(jù)從一個(gè)數(shù)據(jù)中心遷往下一個(gè)數(shù)據(jù)中心。“這就引出了一個(gè)在傳輸過(guò)程中的數(shù)據(jù)是否被加密的問(wèn)題。”Gangwer說(shuō)。其應(yīng)該是的。而如果是醫(yī)療數(shù)據(jù),就必須是。
無(wú)論攻擊者是如何侵入的,包括通過(guò)移動(dòng)和社交訪問(wèn),他們的目的是必須得到企業(yè)的數(shù)據(jù),然后利用這些數(shù)據(jù)。數(shù)據(jù)丟失防護(hù)工具則可以提供幫助。“一個(gè)真正有利的技術(shù)組合能夠?qū)iT(mén)提供給移動(dòng)設(shè)備,使用企業(yè)存儲(chǔ)或container容器,并要求雙因素身份驗(yàn)證才可以訪問(wèn)企業(yè)數(shù)據(jù)。” Cunningham說(shuō)。
為了確保企業(yè)為其SDN和NFV所選擇的開(kāi)源軟件有更少的漏洞,務(wù)必確保只使用經(jīng)過(guò)了很好的審核,并在全行業(yè)廣泛普及的技術(shù)。“任何一段離奇的代碼或者一個(gè)離奇的SDN技術(shù),如果沒(méi)有一個(gè)其是安全的共識(shí)的話,都是不值得嘗試的。” Cunningham說(shuō)。企業(yè)還應(yīng)該測(cè)試使用滲透測(cè)試,以確保對(duì)這些環(huán)境的訪問(wèn)受到限制。