分享云端安全的优势与风险

yizhongqiao

信息安全领域向我们隐藏了一个黑暗秘密：我们正在打一场必输的战争并且以惊人的速度以数据泄露的形式失去我们的阵地。这并不是因为我们在保护企业资产方面不够努力而是归结于一个简单的事实：与我们的防御相比攻击者有更多的时间和工具发动攻击。一些企业根本没有足够的资金投资于信息安全计划所需的资源而其他企业则试图以最少的人员和预算部署半吊子信息安全计划以满足合规要求。可见我们正在打一场输仗并不是一个秘密。多种数字化技术融合发展，降低企业智能化应用门槛。常用的IDC资源就是其中之一，伴随企业数字化转型的加速，越来越多的企业希望寻求信息化、智能化、数字化“三化一体”的定制化服务兴起。

然而时代在改变现在安全专业人士的武器库中出现了新的武器来打击不断增加的络攻击风险云计算。越来越多的企业开始部署云计算来帮助降低成本、提高灵活性和提供业务专业技能。基于云计算的安全服务也具有相同的优势。这种新兴的安全即服务模式为络攻击和络防御提供了所未有的公平竞争环境。不过需要注意的是部署企业云解决方案所涉及的风险同样存在于部署基于云计算的安全服务中。那么你知道何时安全即服务适合你的企业吗？企业需要考虑基于云计算的安全服务的优点和缺点。

安全即服务的优势

1人员力量增强

信息安全是一种劳动密集型工作。我们可以自动化很多工作但最终总是需要人来做出判断。我们需要从服务器、络设备、防火墙和入侵检测系统收集志这些都要求工作人员完全集中注意力。劳动力是安全计划中最繁忙的。数据泄露随时可能会发生而系统始终忠诚地记录着信息直到有人有足够的时间来转译这些志信息。最发生了很多涉及系统渗透的数据泄露事故这些泄露数后才被安全团队发现。并且这些数据泄露事故的报告往往来自外部三方因为内部没有人有时间来转译这些志数据。

这也是安全即服务派上用场的地方。云计算主要是共享资源以实现规模经济。安全即服务解决方案可以指派团队处理特定活动例如监控志并在很多不同客户间分摊成本为大家降低单位成本。安全计划现在可以提供一个专门的志监控小组如果没有基于云计算的模式这是不可能实现的。这提高了安全计划的有效性并且让内部人员有更多时间放在更高层次的风险管理工作上。

2提供先进的安全工具

我们都做过这样的事：下载需要投入大量时间以降低安全风险的开源安全工具。这些开源工具是免费的并且也不需要其他预算。开源技术并没有问题甚至非常好用。不幸的是开源技术需要花费大量时间来在生产环境中安装和维护。例如你花了多少小时来试图找到一个S规则以让你的IDS服务启动？

在另一个领域部署安全即服务也十分有效：你的安全计划还可以通过云计算规模经济获得先进的安全工具。这些可用安全工具的质量和种类可以与其他企业内部部署的商业产品媲美且花费没那么多。更重要的是这些工具将由云服务供应商来维护所以你有足够的时间来利用这些工具的优势。

3提供专业技术知识

信息安全是一个广泛的话题不可能有人了解各个方面的各个细节。例如一些安全专业人士专注于取证而另一些则专注于W应用安全。其他人则因为在企业的安全计划中缺乏足够的人力资源而仅有全面但不精细的安全知识。这种知识方面的差距可能导致严重的盲点无法察觉到风险更别提缓解风险。

安全即服务可以帮助解决这个问题。提供基于云计算的安全的供应商主要侧重于信息安全的特定方面。例如一些供应商提供基于云的漏洞扫描仪由专家维护来检测互联中可利用的系统。其他云供应商则围绕抵御拒绝服务DS攻击来建立自己的整个络。企业没有足够的资金聘请相关安全专家或部署资源而安全即服务让企业可以利用这些专家和资源的优势。这使得内部安全人员不用过多关注技术细节而更多地关注如何战略性地管理企业的信息安全风险。

4 将信息安全定位为业务推动力

信息安全部门通常被认为是在企业活动中设置路障的部门造成这种想法的原因有很多而这实际上可能并不是信息部门的错误。企业中的一些人可能不理解用于保护机密数据的加密或防火墙技术的重要性。即使他们明白这些技术背后的原因他们肯定也不明白部署这些安全技术所需要的时间。

安全即服务也可以帮助解决这个问题。它不能让企业其他部门了解安全需求但它能确保更快的部署安全技术而这可以减少既定的企业项目的影响。这是所有基于云计算的安全服务的一个关键优势安全计划必须利用这一优势。例如虚拟服务器可以快速自动地通过相同的防火墙规则来配置。这还可以让信息安全部门与企业领导建立不同的关系并可以改变人们对信息安全的看法将其视为业务推动者而不是障碍。

5一种新方法

除了安全即服务的诸多好处外一些新类型基于云计算的安全也具有一定的优势。除了传统的电子邮件和W过滤安全即服务外还有一些新服务值得企业关注它们可以帮助解决安全行业一直在努力解决而未见成效的老问题。云计算模式的引入为我们提供了一种新方法也许可以帮助我们解决这些难题。

6身份管理

密码是众多老问题中的一个它几乎与多用户计算同时出现。在20世纪80代的一部电影中我们看到了一个黑客从便利贴窃取系统密码现在员工仍然将写有密码的便利贴放在其键盘下。用户管理单个密码都有困难更别提现代环境中让他们背负10个密码。

对于系统管理员和人力资源部门而言管理员工账户并不是简单的工作。新员工都在等待访问系统以完成其工作而有时候当员工离职后其账户可能没有被及时禁用。这种复杂的手动系统给系统管理员和人力资源两方面都带来安全风险。

有几个可靠的安全即服务产品可以加快账户管理过程并提供单点登录功能。它们可以与云端的系统以及内部络中的系统配合使用。这些服务利用了开放标准协议例如SAML甚至允许结合内部微软A D基础设施。通过这种混合方法即内部和外部服务从同一来源进行身份验证企业可以节省时间和资金简化密码过程同时还降低整体风险。

7虚拟机管理

在单个硬件服务器运行多个虚拟服务器是信息技术领域最具颠覆性的改变。企业迅速部署私有云、公共云和混合云来取代挤满数据中心的物理硬件。然而这项技术也可能给信息安全带来破坏性的影响同时带来更多新的挑战。

在公共云或私有云管理虚拟服务器的挑战之一是配置管理。配置管理包括通过基于企业政策的安全方法配置和维护服务器这些方法有防火墙政策、文件系统权限和安装的服务。支持这一过程的技术已经充斥在数据中心中。基于云计算的配置管理系统需要能够跨多个云服务供应商和内部数据中心提供这种功能。

用于配置管理的基于云计算的安全服务提供这种功能。它们用越来越多针对W服务器的功能提供对L的完整控制它们还可以用于GD托管的服务器以及L托管的服务器。令人惊讶的是这些新的基于云的配置管理系统更易于配置并且与之内部托管系统一样强大。这是值得安全专业人士关注的另一个基于云计算的安全服务即使他们只有内部服务器资源需要管理。

8络层保护

在过去几中保护对基于互联的资产的络连接变得越来越迫切。现在正越来越多地受到络犯罪分子和黑客组织的攻击。黑客组织A使用低技术工具例如L O I C对各种企业发动DS攻击还是新闻头条这种类型的攻击主要出现在企业靠互联来访问基于云的应用。

对这种针对云资产的攻击的最好防御其实是云本身。一些安全即服务解决方案通过利用大量带宽和智能协议路由来提供针对DS攻击的保护。这些服务还可以将W服务器隐藏在其端服务器后防止遭受路过式攻击。其他基于云计算的安全包括PCI DSS、数据标记化、应用防火墙以及隐藏DNS服务器。

安全即服务的风险

对于缓解安全风险世界上并不存在完美的工具安全即服务也不例外。基于云计算的安全服务和所有其他云服务相同的安全风险一样主要分为以下几个类别：

1 云供应商对你的数据拥有一定程度的访问权限。云供应商必须谨慎处理安全相关的数据因为这些数据的泄露可能导致多个数据泄露事故。更全面的云计算服务应使用加密技术但这里仍然存在供应商密钥管理的问题。对于需要拥有最高数据保密性的应用的企业最好考虑使用内部解决方案。

2 安全即服务将是从互联访问。对于内部系统安全专业人员不需要考虑这个风险在过去将内部防火墙管理工具暴露在互联从来都是不被接受的做法。这些服务器的身份验证系统必须提供强大的多因素身份验证以确保适当的保护水平。你还需要考虑潜在的DS攻击如果没有强大的保护攻击者可能会修改服务或者阻止企业管理或访问这些服务。

3 安全即服务供应商间输出服务的开放标准不太可能。使用这些服务的企业需要明白供应商间的任何切换将是完全手动的操作包括在新供应商处重新建立防火墙规则、虚拟机配置和身份验证方法。

4 企业应该进行详细的供应商尽职调查审计以对待任何其他云服务供应商的方式来对待安全即服务。企业应该仔细选择供应商并调查其财务状况以确保他们不会突然人间蒸发。彻底检查服务供应商的信息安全状态从SAS-70或者SSAE-16审计报告以及漏洞评估报告开始。企业需要完全信任云供应商所以这种审计是至关重要的。

5 对于基于云计算的安全服务合规是另一个难以解决的问题。一个服务可以提供一流的审计报告并满足所有尽职调查的技术要求然而却可能仍然不能满足合约或法律协议例如HIPAA法案要求的商业伙伴合约B A A。这种情况正在改善但企业必须了解安全即服务供应商将如何满足其特定的合规要求。

很多信息安全专业人士对部署任何类型的外包服务都充满焦虑这是安全即服务需要考虑的。目的经济发展让很多类型的员工产生一定的抗拒安全专业人士担心自己被云服务取代。然而这些新服务可以让安全专业人士将时间和精力投入到更高水平的战略性安全项目中而不是每天的常维护工作。这将有助于安全计划实现更高的效率而这实际上还可能增加工作安全性。