【冰點智控】17個混合雲安全威脅及解決方案
經常將混合IT雲視爲一種混亂的架構。但這並非混合IT雲的問題,問題出在較差的網絡執行、安全協議和管理上。無縫混合雲的最大障礙是合規性不足、缺乏加密、風險評估不足、糟糕的數據冗餘、數據泄露和其他威脅。
管理人員沒有準備好。他們沒有遵循適當的參與規則,在面對移動設備管理(MDM)和企業移動性管理(EMM)的不斷演進時尤其如此。
管理者需要知道絆腳石。混合雲是一個經濟高效的解決方案,可以通過公有云無限的可擴展性,實現組織內部資產的最大化。
以下是17個您應該避免的混合雲安全威脅,以及解決這些威脅的方法:
1.缺乏加密
網絡傳輸很容易被竊聽,以及遭受通過冒充端點來規避相互認證,進而實現的中間人(MitM)攻擊。移動性企業管理者必須對通信和數據進行加密,以防止安全侵入。
解決方案:
使用帶有端點認證的加密協議,以此防禦隨機攻擊帶來的流量。
使用可靠的V**。
使用可靠的代理服務器
使用SSL/TLS對所有傳輸進行加密,以此管理服務器認證並防止數據被竊取
使用安全Shell(SSH)網絡隧道協議來通過網絡發送未加密的信息。
2.安全風險評估不足
解決方案:不對IT基礎架構和系統執行詳細的風險配置,會妨礙網絡管理員確定入侵的發生方式、發生位置與發生時間。這使得未來的違規行爲幾乎無法被預防。
必須始終嚴格執行風險預防和評估。
IDS/IPS系統應始終掃描全部惡意流量。
日誌監視必須激活並且將軟件更新至當前最新版本。
解決網絡結構安全的最佳方法是一種整體化的方案,即通過使用可靠的SIEM系統來實現。通過這種方式,所有的企業安全數據都可以被查看並輕鬆地追蹤。
3.不合規
在進行合規性檢查時,混合雲需要更多的盡職調查。無論是公有云提供商,或是您的私有云都必須符合合規性參數。由於數據版本前後滾動,因此在混合性模型中維護和證明合規性更爲困難。
解決方案:
兩種雲必須協調。您必須確保您的公有云提供商和私有云各自滿足合規要求,同時還需要證明這兩個雲在協同工作時的合規性。
處理敏感數據時,這兩種雲必須符合數據安全的行業標準。
4.安全管理薄弱
太多的企業管理者在胡亂地運行他們的私有云和公有云,因爲他們沒有采用身份認證、身份管理和授權程序。雲安全協議必須被集成。
解決方案:
複製兩種雲的控制組件。
同步安全數據,或使用與您在雲中使用的系統相配套的身份管理服務。
維護一個內部數據存儲,以儲存不適合在公有云上存儲的敏感數據。
5.缺乏數據冗餘
數據保存時缺乏冗餘會導致混合IT雲和您的企業面臨風險。如果您沒有在所有的數據中心適當地發佈冗餘的數據副本的話,情況尤其如此。以這種方式發佈數據,可以減輕一個數據中心發生故障時的損害。
解決方案:
可以通過三種方式實施數據冗餘備份:
通過使用同一個雲提供商的多個數據中心
使用多個公有云提供商
使用一個混合雲
6.驗證和識別失敗
將公有云和私有云集成在混合環境中時,安全管理至關重要。網絡安全必須在雲提供商和企業員工之間共同分享。
解決方案:
勤奮。
監視並驗證所有訪問權限。
通過使用IP多媒體核心網絡子系統(IMS)來同步數據安全。
7.不受保護的API
在不受保護時,API端點會將敏感數據暴露給惡意攻擊,這種惡意攻擊會利用身份驗證/授權令牌或密鑰來操縱個人信息和數據。這個漏洞在企業移動性管理和通過不安全連接的BYOD傳輸中尤其令人擔憂。
解決方案:
必須按照與加密和代碼簽名密鑰相同的方式來處理API密鑰。
第三方開發者必須確保安全地處理密鑰。
在發佈API密鑰之前總是進行第三方驗證,以避免安全隱患。
8.拒絕服務(DoS)攻擊
攻擊者通過發動DoS攻擊使得雲或移動企業無法訪問。由於共享資源(例如CPU、內存、磁盤空間或網絡帶寬)固有的弱點,從而使得網絡服務在虛擬環境中受到干擾。
解決方案:
對雲管理API的DoS攻擊通常是藉由發送來自企業的錯誤SOAP(或REST)請求導致的。
流量分析可以通過對侵入行爲做出反應,並將攻擊流量重定向到緩解設備來抵禦DoS攻擊。
永遠記住,流量分析工具必須能夠根據其收集和分析的流量總量進行擴展。因爲這是一種較慢的方法,所以在抵禦大容量攻擊(譬如DDoS攻擊)方面效果不佳。
9.分佈式拒絕服務(DDoS)攻擊
這種大容量攻擊或應用層攻擊比DoS更爲普遍,也更爲陰險。因爲這些大量的惡意入侵,是從多個來源發出,最終作用於中央位置的。在攻擊被發現的時候,網絡流量已經處於擁塞中,網站也已經無法渲染了。
解決方案:
抵禦DDoS攻擊需要在訪問路徑內部署強大的DDoS緩解設備,不斷處理所有傳入和傳出的流量。當發生多向攻擊時,這些設備必須能夠立即作用,實現帶寬縮放並執行。
10.知識產權保護不力
知識產權(IP)需要額外的保護。它必須具有最高的加密和安全協議。必須對IP進行識別和分類,以確定潛在的安全風險。同時還需要進行漏洞評估和適當的加密。
解決方案:
在對知識產權進行分類和量化風險時,完全自動化的系統是不夠的。這些任務必須手動完成。只有在數據被分類後,與IP相關的風險才能被識別。
瞭解威脅的來源。開發一個詳細的威脅模型並遵循它。
創建一個許可矩陣。
加強所有開源組件的防護,以防止入侵。
進行廣泛的第三方審計。
確保你的網絡基礎設施是安全的。
11.缺乏數據所有權
處理數據時,雲提供商必須經過充分的安全控制審查。一旦雲部署,企業就失去了控制自己數據集的能力。企業管理者必須知道雲服務中有哪些安全級別可用,以防止出現意外。
解決方案:
數據的所有權和安全性必須經過驗證。避免無法提供合理的所有權預期的供應商。
以構建完備的形式,從供應商那裡獲得涵蓋混合IT企業的服務級別協議(SLA)的所有內容。確切地知道誰有權訪問數據,提供者會用訪問日誌/統計信息做什麼,以及所有存儲的數據的管轄權/地理位置。
12.未能與雲提供商通信
除非得到書面的評估,並且提供在車上執行操作的細節,否則不可能修好一輛車。服務水平協議(SLA)也是如此。他們說明了期望和責任。
解決方案:
在涉及到安全性時,客戶必須讓雲提供商確切地知道,自己有哪些安全要求。這能夠消除了意外和災難。CSA安全、信任和保障註冊處詳細介紹了每個雲提供商在市場上提供的安全控制情況。請將它作爲參考。
詢問細化的問題。有必要時,譬如服務提供商不能詳細解答它們如何定義和保護多租戶邊界,或是如何確保FISMA、PCI合規性和審計時,找其他人來回答問題。
13.定義不理想的SLA
當轉向雲端時,客戶確實喪失了管理自己數據集的能力,並且在公共部分被迫依靠服務提供商來妥善保護數據。
解決方案:
服務級別協議(SLA)中必須明確訪問權限和保護措施,並明確規定安全措施。這同樣適用於對雲服務提供商的期望和要求。
合理的服務期望必須在服務水平協議中明確的、詳細的加以說明,以便在服務中斷或數據受到損害時客戶有追索權。
在簽署任何協議之前,請由律師審查。
14.數據泄露
雲提供商不完善的安全協議可能導致數據部分受損、永久破壞或被不正確的訪問。在工作驅動的BYOD環境中尤其如此。
解決方案:
除非是書面形式,否則絕不要假設雲提供者彌補了數據泄露。預防數據丟失是關鍵。覆蓋所有的數據基礎,並且閱讀細則。
由於企業客戶擁有客戶數據,安全是客戶的責任。
安全措施必須能夠抵制基礎設施的故障、安全漏洞和軟件錯誤。
15.定義不清的管理策略
只有當每個人都知道需要做什麼時,才能實現無縫混合雲的管理。工作必須嚴格按照管理政策和程序來定義。如果沒有這些指導方針,網絡就會受到危害。必須採取綜合的方案來處理整個基礎設施。
解決辦法:
在多個域上計算、聯網和存儲資源時,管理工具和策略必須是一致的。確保模板到位是混合雲管理員的工作。
雲管理策略應該定義:有關配置和安裝的規則;敏感數據/受限應用程序的訪問控制;預算管理和報告。
確切地知道將使用什麼跨平臺工具來管理混合雲。
嚴格定義訪問控制、用戶管理和加密以獲得最佳安全性。
準備訪問控制策略,這些策略將定義何種敏感數據或受限應用程序可以在公共雲和私有云中訪問。
在資源配置中使用配置管理工具,以減少錯誤配置錯誤,並自動生成映像。
16.結構惡劣的跨平臺工具。
您知道如何跨多個域管理任務嗎?混合雲並不像往常一樣。許多管理員在不能完成多任務時都會陷入混亂。在混合環境中不當的定義或執行跨平臺管理,是必須避免的主要缺陷。
解決方案:
在定義一個專門的工具或一套工具是否足以管理您的企業時,什麼纔是完成這項工作所必需的?你需要確定以下這些你是否需要:
雲應用程序遷移工具,用於在私有公有云之間提供互操作性,以及在二者之間移動應用程序。
一定要有適合虛擬化環境的雲監視工具。
雲自動化工具,用於在動態雲配置和虛擬機移動時保證可訪問以及安全性。
17.心懷不滿或惡意的僱員。
有時最惡意的攻擊可能就在我們眼皮底下。並非所有員工和內部人士都值得信賴。一些內部人士可能利用客戶或敏感數據來擾亂企業活動。
解決方案:
您的內容安全策略(CSP)管理員,必須具有能夠跟蹤員工網絡活動的全面安全措施,以避免此類惡意後果。
創建一個具有明確戰略性的內部威脅計劃。
永遠不要相信,永遠要驗證。停止所有未經授權的訪問嘗試。
部署強大的密碼安全策略。
限制對組織關鍵資產的訪問。
開發即時響應協議,以檢測和應對任何可疑或惡意網絡活動。這應該包括立即註銷、遠程鎖定或會話重置。
您是否已部署或正在考慮爲您的企業部署混合雲/IT雲?混合雲計算整合利用了公有云和私有云最好的部分,帶來了豐富的好處。它能以低成本、低進入門檻的方式積極擴展企業的商業潛力,幫助企業以無限的可伸縮性最大化內部資產。不要害怕部署它。