變化總是有風險的���。而快速變化的風險更大,其留給變更管理和變更技術檢查的時間也就變得更少�����。有CSO提出了一個涉及到云數(shù)據(jù)中心的變革有關的所普遍存在的風險問題�����,以及鑒于這些風險的的存在,為維護數(shù)據(jù)安全的技術問題��。
隨著云數(shù)據(jù)中心技術變革步伐的加快����,在云數(shù)據(jù)中心中,需要進行變革的項目清單也變得越來越長����。這一項目清單包括物聯(lián)網(wǎng)、創(chuàng)新��、大數(shù)據(jù)�、移動化、社交訪問以及SDN/NFV�����。變化總是有風險的����。而快速變化的風險更大,其留給變更管理和變更技術檢查的時間也就變得更少��。有CSO提出了一個涉及到云數(shù)據(jù)中心的變革有關的所普遍存在的風險問題�����,以及鑒于這些風險的的存在,為維護數(shù)據(jù)安全的技術問題��。
云數(shù)據(jù)中心變革的所普遍存在的風險
物聯(lián)網(wǎng)設備是相當微小的���,這要求那些當前自己無法找到行之有效的操作系統(tǒng)和軟件的供應商們必須自行編寫定制化的代碼��,Rook Security公司的信息安全分析師Mat Gangwer表示說。“攻擊者經(jīng)常逆向工程軟件����,以發(fā)現(xiàn)因為缺乏代碼控制和質(zhì)量保證所導致的安全漏洞。”Gangwer解釋說���。而這只是物聯(lián)網(wǎng)安全漏洞的一種�。
越來越多的物聯(lián)網(wǎng)設備�����、設備類型�、數(shù)據(jù)類型,使得來自這些設備的流量到達云數(shù)據(jù)中心以待處理的越來越多����,從而也就造成了管理怎樣的設備與實體進行了通信交流也越來越具有挑戰(zhàn)性��。“由于設備無序擴張的本性�,再加上有著如此眾多不同的操作系統(tǒng)���,以及物聯(lián)網(wǎng)設備的復雜性和生產(chǎn)廠商所供應的連接到物聯(lián)網(wǎng)游戲的產(chǎn)品數(shù)量之多���,使得想要很好的維護命令和控制這些資產(chǎn)很快變得幾乎不可能。” Armor公司(前身為FireHost公司)的Threat Intelligence Lead部門的Chase Cunningham博士表示�����。
企業(yè)的創(chuàng)新正在超過物聯(lián)網(wǎng)在云數(shù)據(jù)中心的創(chuàng)新��。他們經(jīng)常雇用服務承包商在云中開發(fā)創(chuàng)新的應用程序���。為此����,他們采用虛擬機建立了開發(fā)資源���。這是很好的����。因為這使得這些開發(fā)的系統(tǒng)在真正被開發(fā)出來后的確是現(xiàn)實可行的。但這往往造成了不必要的虛擬機蔓延和安全攻擊面����,而企業(yè)甚至可能都沒有意識到這些安全攻擊面存在于哪里、但其實它們是開放且脆弱的���。“那些機器待在那里等待被告知應執(zhí)行什么任務���,為某些人提供了一個攻擊企業(yè)的途徑�����。“在過去幾年里���,已經(jīng)發(fā)生了幾次嚴重的違規(guī)行為了��。” Cunningham說���。
相應的也有某些安全違規(guī)是由大數(shù)據(jù)分析、處理和基礎設施技術所導致的�����,這些為都為攻擊者以知識產(chǎn)權的形式提供了動機,一種讓他們更有把握從其入侵企業(yè)的手段���。諸如Hadoop和MapReduce等大數(shù)據(jù)工具�����,是相對較新的工具�����,具備額外的動態(tài)入口和出口點���,而非法雇用的黑客對于這些安全漏洞再清楚不過了。 “在沒有比這能夠讓黑客獲得一個立足點站穩(wěn)腳跟后���,對企業(yè)造成損害更好的資源了��。” Cunningham說�。
當提及該動態(tài)入口和出口點時�,移動和社交云數(shù)據(jù)訪問是進入到云數(shù)據(jù)中心的一個巨大的門口。隨著越來越多的社交惡意軟件和攻擊者通過移動設備或社交媒體進行網(wǎng)絡攻擊��,現(xiàn)如今,移動設備和社交媒體已經(jīng)成為可以直接威脅企業(yè)數(shù)據(jù)安全的一大隱患���。 “而攻擊黑客們所需要做的工作就是在您企業(yè)的環(huán)境中監(jiān)運行一款惡意代碼���,同時將其同步到他們的Google Drive,這其中就包含了您公司的相關數(shù)據(jù)信息�,那么就完蛋了,這一切即不違反您企業(yè)的終端管理�����,而無需通過惡意軟件掃描���,也沒有使用網(wǎng)絡釣魚電子郵件�。”Cunningham說����。
移動設備并非黑客唯一可以采取的無需花費太多功夫就可以造成大規(guī)模安全漏洞被攻擊的攻擊向量���。SDN和NFV將大量的網(wǎng)絡控制交付給軟件進行處理���。在這些環(huán)境中����,攻擊者只需要修改一些代碼來獲得某些密鑰甚至影響到整個企業(yè)網(wǎng)絡的資源����,Cunningham說。 “然后�,他們就可以將流量劫持到任何地方,如果他們愿意的話���,他們可以使用虛擬路由器或交換機端口關閉整個數(shù)據(jù)流���。”Cunningham說。
在這個變化的環(huán)境中保障數(shù)據(jù)安全
為了保護物聯(lián)網(wǎng)設備的新興負載�,以及由這些設備所創(chuàng)造和傳遞的數(shù)據(jù),企業(yè)必須首先針對這些設備將如何構建和落實��,進而影響云資源�����,設置嚴格的控制政策和方法�����,Cunningham說。為了評估實施這些管理政策所導致的變化�,企業(yè)必須在建立起了相應的管理政策之后,不斷地更新其技術���。除非知道其是如何開始的�����,否則企業(yè)根本不知道發(fā)生了什么改變���。企業(yè)應對每臺設備是如何進行通信的進行分類目錄,無論其是否通過藍牙連接網(wǎng)絡的�����。“如果您對于您企業(yè)的基礎設施看起來像什么樣都沒有一個很好的了解的前提下就開始整??個云基礎架構的擴展部署�,那么您在控制權之爭的戰(zhàn)斗中已經(jīng)失敗了。”Cunningham說���。
為了防止外包的開發(fā)人員在每一次創(chuàng)新中都創(chuàng)建一個新的攻擊向量,企業(yè)應了解其基礎設施在這些項目之前期間和之后的樣子��。這樣一來����,企業(yè)就可以確保在相關的項目完成���、關閉或刪除之后,這些基礎設施不會繼續(xù)停留;而所有為項目需要而創(chuàng)建的開口�����,無論是開發(fā)人員的虛擬機或遠程登錄憑據(jù)都會被關閉���。
為了關閉通往企業(yè)大數(shù)據(jù)資源的大門����,企業(yè)應通過要求雙因素身份驗證以保護有共同點的脆弱的安全漏洞��,如采用登錄屏幕和憑據(jù)�。監(jiān)測也可以提供幫助。“監(jiān)控那些對于大數(shù)據(jù)存儲庫的異常訪問���。” Cunningham說����。
因為許多大數(shù)據(jù)技術都是為了方便企業(yè)用戶開箱即用的需求,具有其通達性和便利性����,因而這方面需要進行一些定制化,以確保配置設置正確����,能夠適當?shù)劓i定這些工具,Gangwer說���。
此外����,大數(shù)據(jù)需要充分利用云數(shù)據(jù)復制的優(yōu)勢���,將數(shù)據(jù)從一個數(shù)據(jù)中心遷往下一個數(shù)據(jù)中心����。“這就引出了一個在傳輸過程中的數(shù)據(jù)是否被加密的問題����。”Gangwer說。其應該是的����。而如果是醫(yī)療數(shù)據(jù),就必須是����。
無論攻擊者是如何侵入的,包括通過移動和社交訪問���,他們的目的是必須得到企業(yè)的數(shù)據(jù)����,然后利用這些數(shù)據(jù)�����。數(shù)據(jù)丟失防護工具則可以提供幫助�����。“一個真正有利的技術組合能夠專門提供給移動設備��,使用企業(yè)存儲或container容器��,并要求雙因素身份驗證才可以訪問企業(yè)數(shù)據(jù)�����。” Cunningham說。
為了確保企業(yè)為其SDN和NFV所選擇的開源軟件有更少的漏洞��,務必確保只使用經(jīng)過了很好的審核�,并在全行業(yè)廣泛普及的技術。“任何一段離奇的代碼或者一個離奇的SDN技術���,如果沒有一個其是安全的共識的話�,都是不值得嘗試的�����。” Cunningham說��。企業(yè)還應該測試使用滲透測試����,以確保對這些環(huán)境的訪問受到限制。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺���。如使用任何字體和圖片文字有冒犯其版權所有方的�,皆為無意���。如您是字體廠商���、圖片文字廠商等版權方���,且不允許本站使用您的字體和圖片文字等素材���,請聯(lián)系我們����,本站核實后將立即刪除�����!任何版權方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡碰瓷及敲詐勒索�,將不予任何的法律和經(jīng)濟賠償�!敬請諒解����!
粵公網(wǎng)安備 44030402000264號