从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增长取决于信任。但是,SaaS在IT安全专业人员确定云服务提供商可以产生与传统软件相当或具备更好的安全性之前采用量一直很低。主要的挑战仍在企业方面,Gartner预测95%的云安全事件是用户的错误。

Iaas

现在,第二波的云采用浪潮正在迅速蔓延,围绕着基础设施即服务(IaaS)展开。对于IaaS来说,企业需要使用共享责任模型来更新其安全方法。

更新IaaS的共享责任模型

Cloud-first的公司使用SaaS工具实现不同功能:Office 365协作,Workday人力资源和Salesforce用户关系管理。每个组织还拥有规模不等的为员工、用户和合作伙伴服务的应用程序。组织正在消除其数据中心,并将这些专有应用程序大量地迁移到IaaS云产品中,从而使IaaS增长率达到SaaS的两倍。

即便已经对SaaS安全采取主动方法的公司也必须重新评估其在IaaS平台上托管的应用程序的性能。SaaS和IaaS平台在不同的共享责任模式下运行,或者在云服务提供商和用户之间分配安全能力。SaaS提供商所处理的很多安全漏洞都落在IaaS服务上承载的应用程序所属企业用户的肩膀上。

此外,企业快速迁移的压力意味着安全团队可能对IaaS安全几乎没有有效地监控;开发团队没有额外的资源专门应用于更新预定迁移到云端的现有内部应用程序的安全性。专有应用程序没有SaaS应用程序等专用安全解决方案,也没有与安全产品集成的API.虽然过去我们认为创业公司和云服务提供商是处理AWS、Azure或谷歌云平台安全性的公司,但如今财富榜前2000的公司仍然面临着在云端保护应用程序的挑战。

IaaS安全威胁来自组织的内部和外部。黑客攻击企业IaaS账户以窃取数据或计算资源,可以通过窃取凭据,获取错误的访问密钥或利用配置错误的设置来利用此向量。一位研究人员在GitHub上发现了超过10000个AWS凭证。在托管公司代码空间的最坏情况下,被黑客入侵的账户可以用于挖掘比特币。

在企业内部,具有访问IaaS账户的恶意员工可能会通过窃取、更改或删改平台上的数据而造成巨大损失。人为错误和疏忽可能会将公司数据和资源暴露给攻击者。医疗保健公司CareSet发生配置错误,导致黑客利用其谷歌云平台账户对其他目标发起入侵攻击,在几天之后都没有恢复,谷歌暂时关闭了该公司的账户。组织不能错误地假设IaaS环境是安全的,在上述每种情况下,云服务提供商都无力为用户解决这些漏洞。

IaaS安全行动计划

在IaaS平台上的专有应用程序中保持数据安全需求超出SaaS安全性的范畴:保护计算环境本身。在AWS、Azure和谷歌云平台或其他IaaS平台上保护计算环境从配置审核开始,以下是对于确保IaaS使用至关重要的四种类型的配置:

1、身份验证

多重身份验证是任何具有敏感公司信息,尤其是暴露于Internet的云应用程序的必要控制。公司应为root账户和身份以及管理访问用户开启多重身份验证,以降低账户泄露的风险。高度身份验证可能需要用户在提交操作之前输入其他登录步骤。

2、无限制访问

不必要地暴露AWS环境增加了各种攻击方法的威胁,包括拒绝服务、中间人攻击(man-in-the-middle)、SQL注入和数据丢失。检查对Amazon Machine Images的无限制连接、数据库服务实例和弹性计算云可以保护知识产权和敏感数据,以及防止服务中断。

3、非活跃账户

非活跃和未使用的账户对IaaS环境造成不必要的风险,审查并删除不活跃的账户可以防止账户损害和滥用,降低生产力成本。

4、安全监控

将计算迁移到云端的最大的问题是失去可视化和取证。打开AWS的CloudTrail日志记录进行审计跟踪,可以建立一个行为监控工具,用于主动威胁和调查。这也是任何大型公司的基本合规性要求,可以成为将应用程序移动到IaaS的交易中断。

在这4个类别中,安全监控是最复杂且最可靠的。机器学习工具可以被调整以检测指示威胁行为的范围。API可以根据会话位置,或强制登录启用监控。乍一看,将应用程序迁移到云端可能会失去控制。然而使用主动的基于云的安全策略,IaaS上的应用程序可以与其内部对等方一样安全,甚至更安全一些。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 12:13:13
云资讯 京东云发布《私有云&混合云白皮书》 构建客户想要的云平台
伴随着人工智能、大数据、物联网等技术的不断发展,以及5G时代的来临,企业IT系统的云化成为大势所趋。客户多样化、个性化的应用需求对云厂商提出更多要求。 <详情>
2019-07-31 10:31:00
边缘计算 企业必须进入云端吗?可以进入边缘计算
如今物联网的应用越来越广泛,但需要具有企业的视角。这意味着垂直行业应用程序、开发生态系统、产品设计、硬件、部署等。 <详情>
2019-07-31 10:19:00
云资讯 谷歌牵手VMware将虚拟化工作负载引入谷歌云
彭博社报道称,谷歌与VMware正在展开合作,帮助企业更轻松地在Google Cloud Platform上运行VMware vSphere虚拟化软件和网络工具。 <详情>
2019-07-31 09:52:00
云资讯 谷歌与戴尔旗下云计算公司VMware建立新合作 试图追赶竞争对手
据国外媒体报道,当地时间周一,谷歌宣布与戴尔旗下的云计算公司VMware建立新的合作伙伴关系,帮助更多企业迁移到云端,从而试图追赶其竞争对手。 <详情>
2019-07-31 09:10:00
云技术 云计算时代,硬件为什么仍然非常重要?
加利福尼亚大学圣迭戈分校采用了“云优先”的战略,他们淘汰了三台大型机、将尽可能多的计算工作负载转移到云端、尽可能放弃内部部署软件,转而使用软件即服务。 <详情>