IaaS：云安全的下一個(gè)篇章

從制造業(yè)、金融服務(wù)到公共部門(mén)的行業(yè)中的公司信任云服務(wù)提供商及其關(guān)鍵的數(shù)據(jù)，軟件即服務(wù)（SaaS）應(yīng)用程序（如Office 365和Salesforce）的快速增長(zhǎng)取決于信任。但是，SaaS在IT安全專業(yè)人員確定云服務(wù)提供商可以產(chǎn)生與傳統(tǒng)軟件相當(dāng)或具備更好的安全性之前采用量一直很低。主要的挑戰(zhàn)仍在企業(yè)方面，Gartner預(yù)測(cè)95%的云安全事件是用戶的錯(cuò)誤。
現(xiàn)在，第二波的云采用浪潮正在迅速蔓延，圍繞著基礎(chǔ)設(shè)施即服務(wù)（IaaS）展開(kāi)。對(duì)于IaaS來(lái)說(shuō)，企業(yè)需要使用共享責(zé)任模型來(lái)更新其安全方法。

更新IaaS的共享責(zé)任模型

Cloud-first的公司使用SaaS工具實(shí)現(xiàn)不同功能：Office 365協(xié)作，Workday人力資源和Salesforce用戶關(guān)系管理。每個(gè)組織還擁有規(guī)模不等的為員工、用戶和合作伙伴服務(wù)的應(yīng)用程序。組織正在消除其數(shù)據(jù)中心，并將這些專有應(yīng)用程序大量地遷移到IaaS云產(chǎn)品中，從而使IaaS增長(zhǎng)率達(dá)到SaaS的兩倍。

即便已經(jīng)對(duì)SaaS安全采取主動(dòng)方法的公司也必須重新評(píng)估其在IaaS平臺(tái)上托管的應(yīng)用程序的性能。SaaS和IaaS平臺(tái)在不同的共享責(zé)任模式下運(yùn)行，或者在云服務(wù)提供商和用戶之間分配安全能力。SaaS提供商所處理的很多安全漏洞都落在IaaS服務(wù)上承載的應(yīng)用程序所屬企業(yè)用戶的肩膀上。

此外，企業(yè)快速遷移的壓力意味著安全團(tuán)隊(duì)可能對(duì)IaaS安全幾乎沒(méi)有有效地監(jiān)控；開(kāi)發(fā)團(tuán)隊(duì)沒(méi)有額外的資源專門(mén)應(yīng)用于更新預(yù)定遷移到云端的現(xiàn)有內(nèi)部應(yīng)用程序的安全性。專有應(yīng)用程序沒(méi)有SaaS應(yīng)用程序等專用安全解決方案，也沒(méi)有與安全產(chǎn)品集成的API.雖然過(guò)去我們認(rèn)為創(chuàng)業(yè)公司和云服務(wù)提供商是處理AWS、Azure或谷歌云平臺(tái)安全性的公司，但如今財(cái)富榜前2000的公司仍然面臨著在云端保護(hù)應(yīng)用程序的挑戰(zhàn)。

IaaS安全威脅來(lái)自組織的內(nèi)部和外部。黑客攻擊企業(yè)IaaS賬戶以竊取數(shù)據(jù)或計(jì)算資源，可以通過(guò)竊取憑據(jù)，獲取錯(cuò)誤的訪問(wèn)密鑰或利用配置錯(cuò)誤的設(shè)置來(lái)利用此向量。一位研究人員在GitHub上發(fā)現(xiàn)了超過(guò)10000個(gè)AWS憑證。在托管公司代碼空間的最壞情況下，被黑客入侵的賬戶可以用于挖掘比特幣。

在企業(yè)內(nèi)部，具有訪問(wèn)IaaS賬戶的惡意員工可能會(huì)通過(guò)竊取、更改或刪改平臺(tái)上的數(shù)據(jù)而造成巨大損失。人為錯(cuò)誤和疏忽可能會(huì)將公司數(shù)據(jù)和資源暴露給攻擊者。醫(yī)療保健公司CareSet發(fā)生配置錯(cuò)誤，導(dǎo)致黑客利用其谷歌云平臺(tái)賬戶對(duì)其他目標(biāo)發(fā)起入侵攻擊，在幾天之后都沒(méi)有恢復(fù)，谷歌暫時(shí)關(guān)閉了該公司的賬戶。組織不能錯(cuò)誤地假設(shè)IaaS環(huán)境是安全的，在上述每種情況下，云服務(wù)提供商都無(wú)力為用戶解決這些漏洞。

IaaS安全行動(dòng)計(jì)劃

在IaaS平臺(tái)上的專有應(yīng)用程序中保持?jǐn)?shù)據(jù)安全需求超出SaaS安全性的范疇：保護(hù)計(jì)算環(huán)境本身。在AWS、Azure和谷歌云平臺(tái)或其他IaaS平臺(tái)上保護(hù)計(jì)算環(huán)境從配置審核開(kāi)始，以下是對(duì)于確保IaaS使用至關(guān)重要的四種類(lèi)型的配置：

1、身份驗(yàn)證

多重身份驗(yàn)證是任何具有敏感公司信息，尤其是暴露于Internet的云應(yīng)用程序的必要控制。公司應(yīng)為root賬戶和身份以及管理訪問(wèn)用戶開(kāi)啟多重身份驗(yàn)證，以降低賬戶泄露的風(fēng)險(xiǎn)。高度身份驗(yàn)證可能需要用戶在提交操作之前輸入其他登錄步驟。

2、無(wú)限制訪問(wèn)

不必要地暴露AWS環(huán)境增加了各種攻擊方法的威脅，包括拒絕服務(wù)、中間人攻擊（man-in-the-middle）、SQL注入和數(shù)據(jù)丟失。檢查對(duì)Amazon Machine Images的無(wú)限制連接、數(shù)據(jù)庫(kù)服務(wù)實(shí)例和彈性計(jì)算云可以保護(hù)知識(shí)產(chǎn)權(quán)和敏感數(shù)據(jù)，以及防止服務(wù)中斷。

3、非活躍賬戶

非活躍和未使用的賬戶對(duì)IaaS環(huán)境造成不必要的風(fēng)險(xiǎn)，審查并刪除不活躍的賬戶可以防止賬戶損害和濫用，降低生產(chǎn)力成本。

4、安全監(jiān)控

將計(jì)算遷移到云端的最大的問(wèn)題是失去可視化和取證。打開(kāi)AWS的CloudTrail日志記錄進(jìn)行審計(jì)跟蹤，可以建立一個(gè)行為監(jiān)控工具，用于主動(dòng)威脅和調(diào)查。這也是任何大型公司的基本合規(guī)性要求，可以成為將應(yīng)用程序移動(dòng)到IaaS的交易中斷。

在這4個(gè)類(lèi)別中，安全監(jiān)控是最復(fù)雜且最可靠的。機(jī)器學(xué)習(xí)工具可以被調(diào)整以檢測(cè)指示威脅行為的范圍。API可以根據(jù)會(huì)話位置，或強(qiáng)制登錄啟用監(jiān)控。乍一看，將應(yīng)用程序遷移到云端可能會(huì)失去控制。然而使用主動(dòng)的基于云的安全策略，IaaS上的應(yīng)用程序可以與其內(nèi)部對(duì)等方一樣安全，甚至更安全一些。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。