遷移到云端可以幫助企業(yè)加快IT交付、提高業(yè)務敏捷性,但是可能也會帶來敞開的安全漏洞,讓公司暴露在網(wǎng)絡攻擊面前。這意味著在云端運作的企業(yè)組織現(xiàn)在必須解答這些問題:“什么云服務器遭到了攻擊,我如何才能知道?”
遺憾的是,答案并不容易獲得。像防火墻和入侵檢測系統(tǒng)這些傳統(tǒng)的安全工具在企業(yè)組織內(nèi)部使用時效果很好,可是面對云環(huán)境時,它們沒有多大幫助。虛擬基礎設施具有的彈性和動態(tài)性使得安全團隊很難看到云端發(fā)生的情況。而要是沒有這種可見性,它們不可能執(zhí)行一致的政策、發(fā)現(xiàn)漏洞,并迅速應對異常行為。
想得到云服務提供商的幫助?那只能為你解決一部分問題。云服務提供商通常不保護虛擬機管理程序?qū)又系娜魏蜗到y(tǒng),所以做好安全主要是你的責任。假設你想在云端啟用一臺Windows 2000服務器或紅帽Linux。為那些實例確保安全是你的工作,而不是云服務提供商的工作。
這就是所謂的“分擔責任”模式,所有云服務提供商無不在大聲吆喝這種模式。亞馬遜網(wǎng)絡服務是這么說的:“雖然AWS管理云安全,但做好云安全是客戶的責任。客戶仍然控制著選擇實施什么好的安全機制,保護自己的內(nèi)容、平臺、應用程序、系統(tǒng)和網(wǎng)絡,這跟他們保護現(xiàn)場數(shù)據(jù)中心中的應用程序沒什么兩樣。”
似乎夠直截了當。但是許多消費者仍然感到困惑。他們認為,因為亞馬遜擁有保護直至虛擬機管理程序這一層的種種出色工具,因而自己完全安全??墒撬麄儧]有認識到,做好他們選擇啟用的云實例的安全性永遠是自己的責任。無論你在公有云運作還是在傳統(tǒng)數(shù)據(jù)中心運作,仍需要繼續(xù)實現(xiàn)一些關(guān)鍵的控制目標,包括數(shù)據(jù)保護和威脅管理。
云安全薄弱釀成的后果可能很嚴重。我記得一家名為Code Spaces的公司在黑客全面訪問其托管在云端的網(wǎng)絡后,被迫關(guān)門歇業(yè)。黑客索要贖金,而Code Space拒絕支付。然后,黑客刪除了Code Spaces的所有重要數(shù)據(jù),實際上搞垮了這家公司。
這就是你在云端保護自己所面臨的困境:你對看不見的東西自然無法確保其安全。因而,獲得實時可見性至關(guān)重要,對希望充分利用云基礎設施許多不同優(yōu)點的企業(yè)組織來說更是如此。而隨著企業(yè)組織使用更多的云:公有云、私有云或混合云,并與內(nèi)部數(shù)據(jù)中心(不會很快就會消失)結(jié)合起來,情況就只變得更加復雜。
那么,你如何才能獲得云端可見性,并確保自己安全呢?不妨先明白這一點:做好安全是你的責任,然后堅持遵守這五個最佳實踐。
1. 持續(xù)可見性。隨時知道你的基礎設施、應用程序、數(shù)據(jù)和用戶方面出現(xiàn)的情況。由于現(xiàn)代虛擬基礎設施具有自動化、彈性、按需的性質(zhì),獲得這種可見性可能是個挑戰(zhàn)。但是如果隨時知道自己有什么及其運行情況,就能減小受攻擊面,并降低風險。
2. 風險管理。這意味著為你的可見性添加具體環(huán)境。一旦你獲得了可見性和透明性,就能成功地消除已知存在于網(wǎng)絡里面的明顯的安全漏洞,比如過期的工作站和移動設備。
3. 強有力的訪問控制。實際上,薄弱的訪問控制導致了最近的許多重大安全事件,包括臭名昭著的Ashley Madison黑客事件。Ashley Madison首席執(zhí)行官本人表示,內(nèi)部人員實施了這起黑客行為,很可能是第三方的合同工,他被授予了過高的訪問權(quán)限。所以,確保你落實了合適的訪問管理和權(quán)限監(jiān)控機制。還要確保在不斷監(jiān)控用戶活動,保證根本沒有違反公司政策。
4. 數(shù)據(jù)保護。這是另一項必要工作。這意味著要既要保護靜態(tài)數(shù)據(jù),又要保護傳輸中數(shù)據(jù),還要部署數(shù)據(jù)丟失防護(DLP)之類的技術(shù),確保萬一受到危及,你的數(shù)據(jù)無法被發(fā)送到網(wǎng)絡外面。
5. 威脅管理。你必須接受這一事實:哪怕再嚴格的安全做法也無法始終防范得了所有安全事件。安全事件會發(fā)生。所以準備好果真發(fā)生后,緩解風險。要落實相應的流程和技術(shù),讓你能夠迅速應對,并且化解安全事件,以免勢態(tài)失控。在安全事件發(fā)生之前制定好行動方案,然后一旦發(fā)現(xiàn)了安全事件,就嚴格遵守。
如果你無法隨時迅速準確地看到你整個基礎設施上發(fā)生的情況,很可能不知道何時遭到了攻擊或危及,因而等你有所反應時已為時太晚。等到網(wǎng)絡已被大火夷為平地,才拿著水管去滅火無事無補。你需要持續(xù)的可見性,并且輔以全面的安全功能。這些是改善安全狀況的必要步驟,在面對具有動態(tài)性和彈性的現(xiàn)代云計算環(huán)境時更是如此。