“流氓云”暗流涌動 CSO如何防患于未然
云計算的普及帶來了便捷也帶來了潛在的危機,人們在愉快的享受自助式云服務的時候,IT部門卻在擦汗,業務部門眼中快捷方便的自助式云服務很可能成為IT部門重點圍剿的“流氓云”,它讓企業后患無窮,CSO趕緊警惕起來!不管現在還是未來,早些認識它并防患于未然是必須的。
傳統IT系統需要經過開發、采購及部署三大環節才能真正投入使用,如全員應用的電子郵件系統、專供設計師個人用的圖形設計工具亦或人力資源部門用的薪酬處理系統或人力資源管理工具等等。
不論是全員應用還是以個人或部門為單位的應用,用戶們訪問系統的過程對IT管理者和系統管理員來說幾乎是透明的。要想在業務環境中安裝額外的系統,您就必須先要過IT監控機制這一關。
這樣的控制模式在IT發展早期成效顯著。
但是,云計算來了,一種新的IT服務機制和部署模式應運而生!那就是:自助式云服務。
而對于IT安全領導者來說,這種新的云使用模式帶來諸多令人頭痛的大麻煩,他們稱它為“流氓云”,因為當缺乏IT專業知識的非IT員工利用云服務創建并運行自己的IT系統時,大量災難性信息安全威脅也會接踵而至。
那么為何“流氓云”的危害如此嚴重?如何及時將其發現?又如何對其進行有效的管理?下面我們來共同討論。
定義“流氓云”
簡要來說,“流氓云”就是擅自利用云資源來實現組織業務。這一趨勢興盛并迅速蔓延的主要原因在于:云服務很容易避開IT部門的監控,而很多員工將此視為跨越技術障礙、實現新興業務流程的首選方案。
如今只需啟動一臺Web服務器或者SharePoint即可以低成本方式輕松實現云服務,而這種來自外部的資源體系能有效規避IT人士的核審、擺脫企業內部令人煩躁的批準流程,何樂而不為呢?
然而一旦“流氓云”安裝完成,它們的存在往往會影響到IT部門提供并管理安全系統的能力。舉例來說,配置不當的“流氓云”可能導致重要或敏感的業務數據缺乏充分保護,從而暴露在攻擊者面前。更糟的是,“流氓云”的出現還可能遺留下潛在的網絡安全漏洞,并成為攻擊者長期滲透企業內部網絡的跳板。最可怕的是,網絡安全團隊根本無法對此加以識別與控制,因為他們并不知道這個云服務的存在。
“流氓云系統”已經成為《賽門鐵克2013年云隱性成本規避報告》中亟待解決的難題之一。這份報告匯總了超過3200名世界各地IT從業人員的意見,其中近三分之一的受訪者稱“流氓云部署”在其企業內正持續升溫。另一項重要發現則與“流氓云”的數據備份機制有關,據賽門鐵克稱,超過40%的受訪者經歷過云數據丟失,而且其中三分之二遭遇過數據恢復失敗的窘境。
找尋“流氓云”部署
最現實的應對策略就是假設“流氓云”已經存在。因此,制定一系列相關流程,將現有監控工具與云服務供應商的監控支持結合起來,用于識別并檢測可疑云活動的起源就變得至關重要。
口口相傳是了解臨時云使用的最便捷方式。睿智的IT安全機構通常會與整個企業中的所有部門及關鍵業務負責人保持聯系。在理想狀況下,這種溝通機制將成為安全團隊與普通部門及員工之間的交流窗口,幫助前者了解后者的使用情況、從而制定出符合需求的安全改進方案,而非對其積極性加以一味打壓。
網絡監控的重要性同樣不容忽視。主動監控未授權云的使用情況、關注網絡流量模式的突然改變、觀察越過入侵檢測/防御系統的可疑網絡活動或者測定對數據存儲需求的異常變化,這一切都能幫助我們成功識別“流氓云”活動的存在。如果用戶在未經許可的情況下擅自使用來自授權供應商的實例,那么供應商應該能夠發現使用中的異常狀況(例如不符合服務水平協議的使用實例),從而揪出“流氓”活動。
管理“流氓云部署”
如果大家已經成功發現“流氓云”活動,請千萬不要馬上將其關閉。相反,我們應該先了解它對于現有IT業務的干擾——尤其是掌握它會對企業保護敏感數據產生何種影響。某些未經授權的云實例其實是屬于良性機制,其與合規方案相比只缺少一份認證文檔而已。一旦識別與調查工作完成,接下來要考慮的就是安全風險。我們必須向企業高管發出通知,而“流氓云”也需被立即中止,并且合并到現有IT體系當中。
另外,說服高管層建立“云服務使用政策”,包括對非IT及其它未經授權部署的處理規定,向他們解釋為什么“流氓云”可能破解公司機密并制定詳盡的處罰條例。這將有助于減少未來出現其它“流氓云部署”的可能性。
