首页 首页 云计算 查看内容

企业的云基础设施是否为抗击云攻击做好准备

木马童年 2019-3-2 13:18 74 0

Alert Logic公司在最近发布了一篇2014云安全报告,报告显示近期针对云的攻击事件数量有明显增长的趋势。但是,企业的云基础设施是否为抗击云攻击做好了准备呢? 鉴于针对云的攻击事件数量日益增多,所有使用云算服务 ...

Alert Logic公司在最近发布了一篇2014云安全报告,报告显示近期针对云的攻击事件数量有明显增长的趋势。但是,企业的云基础设施是否为抗击云攻击做好了准备呢?

鉴于针对云的攻击事件数量日益增多,所有使用云算服务的组织都应当对他们已实施的安全控制措施的状态进行评估。

适用于客户配置和控制的可用控制措施的类型是取决于所使用的云服务模式的。对于软件即服务(SaaS)而言,唯一可能的配置是在云应用程序的环境中。该配置可以包括日志记录和访问控制(例如密码策略和多因素身份验证,MFA等),以及应用程序内的角色和权限分配。对于平台即服务 (PaaS)部署来说,管理控制是通过服务控制台来实现的,它主要关注访问控制和用户的角色与权限。大多数的PaaS环境还提供了对大量应用程序编程接口 (API)的访问,这些都是需要对潜在的安全问题进行仔细评估的。

在本文中,我们将讨论企业组织在评估云安全控制措施中应当遵循的最佳实践。

漏洞扫描与渗透测试

漏洞扫描和渗透测试是所有PaaS和基础设施即服务(IaaS)云服务都必须执行的。无论他们是在云中托管应用程序还是运行服务器和存储基础设施,用户都必须对暴露在互联网中的系统的安全状态进行评估。大多数云供应商都同意执行这样的扫描和测试,但是这要求他们事先与客户和/或测试人员进行充分沟通和协调,以确保其它的租户(用户)不会遭遇中断事件或受到性能方面的影响。

对于在PaaS和IaaS环境中测试API和应用程序的集成来说,与云供应商协作的企业应重点关注处于传输状态下的数据,以及通过绕过身份认证或注入式攻击等方式对应用程序和数据的潜在非法访问。

配置管理

云安全措施中最重要的要素就是配置管理,其中包括了补丁管理。

在SaaS环境中,配置管理是完全由云供应商负责处理的。如有可能,客户可通过鉴证业务准则公告(SSAE)第16号、服务组织控制(SOC)报告或ISO认证以及云安全联盟的安全、信任和保证注册证明向供应商提出一些补丁管理和配置管理实践的要求。

在PaaS环境中,平台的开发与维护都是由供应商来负责的。应用程序配置与开发的库和工具可能是由企业用户管理的,因此安全配置标准仍然还是属于内部定义范畴。然后,这些标准都应在PaaS环境中被应用和监控。

对于IaaS环境,云供应商们应当证明他们内部实践的可行性,但是他们的客户还管理着他们自己的虚拟机(VM)。鉴于云环境中的开放程度,这些内容都应被尽可能安全的保护起来。由互联网安全中心从安全配置入手,微软公司以及其它的操作系统与应用程序供应商们是一个可靠的途径,但是企业用户不应满足于内部运行的安全配置,因为云本质上是更具开放性的。关闭所有不必要的服务、删除所有不需要的应用程序和代码、限制用户和组的访问权限至最低需要限度并且始终保证为系统打补丁的实时性。

对于用户正在运行一个私有云实施的IaaS环境,这就要求各种网络控制措施也是可配置的。例如,一个亚马逊网络服务(AWS)中的虚拟私有云可以通过IPsec支持一个专用的VPN连接。确保IPsec相关参数是正确配置的,同时所有其它的网络设施(例如防火墙和入侵检测与预防系统)的设置都是被正确设置和处于被保护中的。

云供应商的安全控制

云供应商融入安全配置过程的切入点在哪里?云供应商负责所有基础设施的运行,其中包括了虚拟化技术、网络以及存储等各个方面。它还负责其相关代码,包括了管理界面和API,所以对它的开发实践和系统开发生命周期的评价也是非常必要的。只有IaaS客户会对整个系统规格拥有真正的控制权;如果虚拟机是基于一个供应商提供的模板(例如亚马逊的虚拟机镜像)而部署的,那么在实际使用前也应对这些虚拟机进行仔细研究并确保其安全性。

结论

一家组织如何确定在强化自身应对云攻击的准备工作中应投入多少的时间、精力和资金?其答案取决于企业在云中所托管系统和数据的敏感性。

无论其敏感性具体是如何的,所有的企业都应在评估云供应商的安全功能和控制措施上投入必要的时间,从而确定他们是否满意。云安全联盟的共识评估问卷(CAIQ)就是一个向云计算供应商提问的很好出发点。企业应确保他们的审计和安全团队能够定期地查审反馈,以及诸如SOC 2这样的审计与验证报告。对于那些部署在云中的系统和应用程序,打补丁、配置管理以及应用程序安全性(包括开发和评估)都是需要投资的重要领域。用户访问控制和角色与权限分配也是至关重要的。

在云环境中发生攻击或事故之前,组织就应尽可能多地了解由供应商维护的安全控制以及那些由用户使用的安全控制是非常关键的,因为这将有助于决策层作出更全面和更明智的风险决策。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

云安全 基础设施 云服务 云应用 应用程序 互联网
0
为您推荐
人算不如天算,数据驱动的云计算远超天算啦!

人算不如天算,数据驱动的云计算远超天算啦

在今天的世界, 一切业务数据化,一切数据业务化,只有这样才能迎接这个时代。所以我希…...

业务不到两年增速85%,是哪家公司这么厉害?

业务不到两年增速85%,是哪家公司这么厉害?

核心提示:自从2015年9月的OracleOpenWorld大会上推出全线的SaaS和PaaS产品以来,甲骨…...

打开企业云计算之门的利剑,不容错过?

打开企业云计算之门的利剑,不容错过?

在现实中,很多企事业单位的IT基础设施就处于此层次级别,即:只是采用了虚拟化技术去…...

云计算炙手可热,究竟是谁在背后?

云计算炙手可热,究竟是谁在背后?

核心提示:前不久,万达网络科技集团与美国IBM公司达成合作,借助IBM的云计算技术,进…...

云计算对数据进行智能分析,云计算核心技术有哪些?

云计算对数据进行智能分析,云计算核心技术

随着信息技术不断进步,闪存、磁盘、数据中心、DNA等各种新的存储技术不断出现。即便…...

“云”上存储日渐成熟, 那么最关键的是什么?

“云”上存储日渐成熟, 那么最关键的是什

展望未来,世界并不只是由公有或私有化技术组成,还有许多两者的混合体。因此势必会有…...

云计算开源呈现爆发式增长,如何使用云计算开源技术成为产业链关注的热点?

云计算开源呈现爆发式增长,如何使用云计算

近几年来,在云计算领域,开源技术呈现爆发式的增长,借用云计算领域的主流看法,这个…...

云计算提供了基础平台,云计算产业进入2.0

云计算提供了基础平台,云计算产业进入2.0

云计算引发了软件开发部署模式的创新,成为承载各类应用的关键基础设施,并为大数据、…...

私有云的建设是一个需要长期迭代的过程,我们都还在路上!

私有云的建设是一个需要长期迭代的过程,我

伴随着IT新技术的发展,像虚拟化、云计算和大数据对大家来说已经不再陌生了。在企业里…...

大家都要向云计算转型,为什么?

大家都要向云计算转型,为什么?

我们曾经开玩笑说硬件也要向云计算转型,软件也要向云计算转型,系统集成商也要向云计…...