从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增长取决于信任。但是,SaaS在IT安全专业人员确定云服务提供商可以产生与传统软件相当或具备更好的安全性之前采用量一直很低。主要的挑战仍在企业方面,Gartner预测95%的云安全事件是用户的错误。

Iaas

现在,第二波的云采用浪潮正在迅速蔓延,围绕着基础设施即服务(IaaS)展开。对于IaaS来说,企业需要使用共享责任模型来更新其安全方法。

更新IaaS的共享责任模型

Cloud-first的公司使用SaaS工具实现不同功能:Office 365协作,Workday人力资源和Salesforce用户关系管理。每个组织还拥有规模不等的为员工、用户和合作伙伴服务的应用程序。组织正在消除其数据中心,并将这些专有应用程序大量地迁移到IaaS云产品中,从而使IaaS增长率达到SaaS的两倍。

即便已经对SaaS安全采取主动方法的公司也必须重新评估其在IaaS平台上托管的应用程序的性能。SaaS和IaaS平台在不同的共享责任模式下运行,或者在云服务提供商和用户之间分配安全能力。SaaS提供商所处理的很多安全漏洞都落在IaaS服务上承载的应用程序所属企业用户的肩膀上。

此外,企业快速迁移的压力意味着安全团队可能对IaaS安全几乎没有有效地监控;开发团队没有额外的资源专门应用于更新预定迁移到云端的现有内部应用程序的安全性。专有应用程序没有SaaS应用程序等专用安全解决方案,也没有与安全产品集成的API.虽然过去我们认为创业公司和云服务提供商是处理AWS、Azure或谷歌云平台安全性的公司,但如今财富榜前2000的公司仍然面临着在云端保护应用程序的挑战。

IaaS安全威胁来自组织的内部和外部。黑客攻击企业IaaS账户以窃取数据或计算资源,可以通过窃取凭据,获取错误的访问密钥或利用配置错误的设置来利用此向量。一位研究人员在GitHub上发现了超过10000个AWS凭证。在托管公司代码空间的最坏情况下,被黑客入侵的账户可以用于挖掘比特币。

在企业内部,具有访问IaaS账户的恶意员工可能会通过窃取、更改或删改平台上的数据而造成巨大损失。人为错误和疏忽可能会将公司数据和资源暴露给攻击者。医疗保健公司CareSet发生配置错误,导致黑客利用其谷歌云平台账户对其他目标发起入侵攻击,在几天之后都没有恢复,谷歌暂时关闭了该公司的账户。组织不能错误地假设IaaS环境是安全的,在上述每种情况下,云服务提供商都无力为用户解决这些漏洞。

IaaS安全行动计划

在IaaS平台上的专有应用程序中保持数据安全需求超出SaaS安全性的范畴:保护计算环境本身。在AWS、Azure和谷歌云平台或其他IaaS平台上保护计算环境从配置审核开始,以下是对于确保IaaS使用至关重要的四种类型的配置:

1、身份验证

多重身份验证是任何具有敏感公司信息,尤其是暴露于Internet的云应用程序的必要控制。公司应为root账户和身份以及管理访问用户开启多重身份验证,以降低账户泄露的风险。高度身份验证可能需要用户在提交操作之前输入其他登录步骤。

2、无限制访问

不必要地暴露AWS环境增加了各种攻击方法的威胁,包括拒绝服务、中间人攻击(man-in-the-middle)、SQL注入和数据丢失。检查对Amazon Machine Images的无限制连接、数据库服务实例和弹性计算云可以保护知识产权和敏感数据,以及防止服务中断。

3、非活跃账户

非活跃和未使用的账户对IaaS环境造成不必要的风险,审查并删除不活跃的账户可以防止账户损害和滥用,降低生产力成本。

4、安全监控

将计算迁移到云端的最大的问题是失去可视化和取证。打开AWS的CloudTrail日志记录进行审计跟踪,可以建立一个行为监控工具,用于主动威胁和调查。这也是任何大型公司的基本合规性要求,可以成为将应用程序移动到IaaS的交易中断。

在这4个类别中,安全监控是最复杂且最可靠的。机器学习工具可以被调整以检测指示威胁行为的范围。API可以根据会话位置,或强制登录启用监控。乍一看,将应用程序迁移到云端可能会失去控制。然而使用主动的基于云的安全策略,IaaS上的应用程序可以与其内部对等方一样安全,甚至更安全一些。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

扫描二维码,将会有专人将您拉进“大数据交流群”“云计算交流群”“区块链交流群”“物联网交流群”

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-11-14 10:08:00
云资讯 甲骨文吞下15家云业务公司 称后续放缓收购步伐
近日,在2017甲骨文云大会上,甲骨文公司战略与运营高级副总裁Philippe Mathieu在接受第一财经记者采访时称,在向云计算业务的转型过程中,甲骨文收购了15家公司。目前收购 <详情>
2017-11-14 09:58:00
机房建设 如何设计下一代数据中心
本文介绍了指导下一代数据中心(NGDC)开发的5个体系结构原则。它描述了主要的市场影响,引领了一个基本的企业It转型和支持It的技术趋势。 <详情>
2017-11-13 17:45:07
云安全 上云有隐性成本 用户要警惕五个坑
对于任何一家企业来说,每年的巨额IT支出难以避免,而且买来的资源能否充分利用也要画一个问号,更不要说背后的运营成本。因此,把业务搬上公有云成了很多企业的选择。通常 <详情>
2017-11-13 17:20:13
云技术 OpenStack的演进方向
开源社区是不断发展的,所谓铁打的技术,流水的社区,开源社区的成果主要依靠贡献者的贡献以及随着时间的推移而不断变化。 <详情>
2017-11-13 17:10:00
云资讯 【IDCC2017】专访金山云曹锡刚 看IaaS前三甲的数据中心布局
金山云合伙人曹锡刚认为:“底层基础决定上层建筑,金山云云计算平台的稳定性、可扩展性离不开数据中心的支撑。”在接受中国IDC圈采访时,他从国内本土化设计、全球差异化 <详情>