cloud hacking
來源:中关村在线
如今,上雲與否早已不是選擇題。在企業實現數位化轉型的過程中,雲計算的重要性不言而喻。對於CIO來說,關鍵任務變成了找到適合的雲服務商,並且根據自身業務特性,逐步遷移到雲端。
不過隨著業務加速雲化,一些企業的安全團隊,卻仍然停留在原有的思維定式,忽視了對新業務佈署時的風險控制,這種威脅不僅是在應用層,還有架構層。
今年以來,雲應用和基礎架構層面的數據洩露事件,已經發生多起,而且勒索病毒和其他各類惡意軟體的數量,也在顯著增加。例如,Slack和CloudFlare發現的漏洞,影響了數百萬用戶的私密資訊,Verizon更是由於Amazon S3伺服器的配置錯誤,洩露了1400多萬美國客戶的數據。
拿Slack來說,這種行動化辦公的方式正在被越來越多的人所接受,團隊工作組可以透過應用實例,跨組織快速切換,一旦遭受駭客攻擊就是大規模的權限丟失。至於Verizon,面臨的問題則是失去了對基礎設施的控制,可遠端設置的伺服器上線是方便了,但安全協議卻不完善。
LinkedIn曾經做過一項調查:49%的CIO和企業認為,影響他們上雲的主要原因是擔心數據的丟失和洩漏,59%的人認為,傳統的網路安全工具在雲端具有局限性。事實上,儘管當前各廠商在設計架構時,更重視IaaS層的資源隔離,不過PaaS層和SaaS層仍儲存了大量的用戶數據。
之所以出現這些問題,一方面是上雲業務與原有IT架構的安全組件集成度不夠,另一方面也是企業客戶過於追求成本效益,忽視了安全因素。
為了讓安全性追上業務向雲遷移的速度,雲服務商和企業客戶需要從基礎實施、托管平台、應用佈署方面,圍繞政策法規、數據儲存、成本管理等流程構建一體化方案。
在企業內部,涉及關鍵項目的所有成員,要對雲安全技術引起重視,而不是把責任推給單獨的安全部門。在企業外部,需要讓身份訪問、日誌管理、事件響應滿足雲時代的監管標準。
在企業內部,涉及關鍵項目的所有成員,要對雲安全技術引起重視,而不是把責任推給單獨的安全部門。在企業外部,需要讓身份訪問、日誌管理、事件響應滿足雲時代的監管標準。
決策與規劃方面,企業開發和使用應用程序,以及後續的測試、質保環節都有可能遭到外部攻擊,基於實體伺服器的IT資源虛擬化,共享使得被駭往往是聯帶的,即使是專用伺服器也難以保證絕對的安全性。
一般來說,企業CIO要在採購前制訂預製規則和應對策略,首先是收集業務需求結合數據的儲存及處理,讓IT佈署適配雲框架,從而成為員工的操作規範。同時,企業的安全人員也要定期追蹤,工作中產生的問題,與雲服務商配合從底層消除風險。
數據遷移與儲存方面,首要關注的應該是數據丟失和災備,傳統的煙囪式架構,在處理敏感數據時會有安全缺失,企業在初期選擇雲服務商時,才依據自身業務特性,來制訂具體的安全防護標準。
此外,雖然雲服務商通常會提供數據備份,但企業最好還是在本地有自己的保護措施,並且要監控訪問數據的ID,加密核心信息。當涉及到多雲遷移的時候,各個雲服務商可以提供統一的數據管理API,減少出現服務故障,導致數據返回的工作量成本。
總體來說,雲端數據遷移時,先要打包整體的數據源,關注部分數據可能會導致最終處理時失真。其次,數據遷移的對象範圍和規模要給出預估,充分利用邊緣化的儲存。
再者,自動化流程,往往比人工干預要更有效率。涉及到具體的數據傳輸加密過程,可以結合客戶端/應用加密、鏈路/網路加密、代理加密三種模式。
其中,第一種是讓數據先加密再傳輸,第二種兼顧了硬體和軟體加密方案,第三種則是將加密機制,整合到了應用程序中。
企業佈署雲計算不是一蹴而就,初期佈署一些輕量化業務上雲測試是必要的。除了要選擇熟悉的雲服務商,還要即時監控數據中心和雲端業務的運行情況,並且在出現問題時,迅速決定投入哪些資源來抵御攻擊。
沒有留言:
張貼留言