在企业采用云计算之前的一些不安全IT程序必须得到改进,以防止数据泄露和系统漏洞。
近年来,对IT管理人员来说大的变化之一是云计算,这要求IT管理人员需要转变他们在内部部署运行业务的思维方式。问题不在于云计算。毕竟,如果云计算供应商可以帮助IT管理人员维护服务器,工作量应该会减少。采用云计算揭露了业界一些过时的方法论,这推动了IT现代化。由于外部访问受到限制,因此在云计算出现之前,许多IT部门的实践并没有那么严格。
时代变迁和新技术推动信息技术现代化
当企业在内部部署数据中心开展业务时,添加精细控制的防火墙规则仅允许某些连接进出很容易。内部部署基于Web的应用程序不需要HTTPS——只是普通的HTTP可以正常工作。这似乎很难理解。企业网络上的任何人都有权进入,因此数据是否加密都没有关系。很多人表示,这种努力应对风险是不值得的,不必如此麻烦,反正用户也不知道。
企业会找到不同的方法来限制威胁,例如可以采用802.1X,它只允许采用网络上的授权设备。这降低了产生漏洞的可能性,因为网络攻击者既需要对网络的物理访问,又需要进入获得批准的设备。而采用Active Directory可能会很混乱,它对帐户管理和清理的态度很宽松,只要每个人都能做好自己的工作,这就没问题。
前云时代允许许多捷径,因为这些事情实施的方式影响业务的风险较小。进入新工作岗位的IT管理人员通常会从原来IT团队得到一个烂摊子,因为并没有动力进行清理,只希望保持那些现有的工作负载运行正常。现在,通过云计算将企业的IT系统暴露给外界的风险越来越大,而继续以同样的方式做事已不再是一种可行的选择。
使用微软公司的Azure Active Directory时,默认配置就是有关云计算如何迫使IT更改的一个示例。除非企业应用过滤功能,否则此产品会将每个Active Directory对象同步到云平台。官方文档指出这是推荐的配置。而在几年前在LinkedIn公司数据泄露期间泄露的每个密码现在都在云中,可供任何人使用。这些账户从几年前被人遗忘的混乱状态变成了定时炸弹,网络攻击者可以成功登录,同时能够浏览大量用户名和密码组合的列表。
回到HTTP/HTTPS端,用户现在希望在家中或可能有Internet连接的任何地方工作。他们还希望通过任何设备(例如笔记本电脑、手机或平板电脑)来实现这一目标。开放内部网站(而且在许多情况下仍然如此)曾经是突破防火墙并希望获得最佳结果的情况。在未在加密的HTTP站点的情况下,从用户看到的所有内容到用户输入的任何内容(例如用户名和密码),其输入和输出的所有数据均会受到威胁。企业的用户可以通过免费Wi-Fi连接进入。对于网络攻击者而言,建立伪造的中继访问点,监听所有数据并读取未加密的内容并不困难。
如何容纳用户并加强安全性
众所周知,如果IT部门专注于让用户满意而不是业务安全,那么很容易陷入高风险的境地。那么如何过渡到更安全的环境?IT管理人员需要立即采取一些行动:
•清理Active Directory。审核帐户,禁用未使用的帐户,使帐户清晰合理,并从头到尾实施客户管理流程。
•查看企业的密码策略。如果没有其他保护措施,需要定期循环使用密码,并提高一定程度的复杂性。查看其他用于增强保护的方法,例如Azure Active Directory提供的多因素身份验证(MFA),可以消除密码循环。为了获得更高的安全性,请将多因素身份验证(MFA)与条件访问结合使用,以便在受信任的网络或使用受信任的设备中的用户甚至都不需要多因素身份验证(MFA)。
•查看并报告帐户使用情况。如果帐户使用出现问题,应该尽快知道要采取纠正措施。诸如身份保护功能Azure Active Directory之类的技术会对可疑活动发出警报并进行补救,例如从该帐户不典型的位置登录。
•在所有站点上实施HTTPS。IT人员不必为每个站点都购买证书即可启用HTTPS。如果该站点仅用于可以在其上部署证书链的受信任计算机,则可以节省资金并自己生成它们。另一种选择是购买通配符证书以便在任何地方使用。在部署证书之后,可以使用Azure Active Directory应用程序代理公开所需的站点,而不是在防火墙中打开端口。这具有强制用户在进入内部站点之前强制Azure Active Directory登录以应用MFA和身份保护的附加好处,而不管设备和物理位置如何。
这些IT管理人员的思维方式从内部部署更改为云计算时需要考虑的一些关键方面。这是对这些区域进行仔细查看的基本概述。而这些IT管理人员根据计划使用的云计算服务,还需要考虑很多问题。
【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】