云數據中心變革導致安全風險增加
云數據中心變革的所普遍存在的風險
物聯網設備是相當微小的,這要求那些當前自己無法找到行之有效的操作系統和軟件的供應商們必須自行編寫定制化的代碼,Rook Security公司的信息安全分析師Mat Gangwer表示說。“攻擊者經常逆向工程軟件,以發現因為缺乏代碼控制和質量保證所導致的安全漏洞。”Gangwer解釋說。而這只是物聯網安全漏洞的一種。
越來越多的物聯網設備、設備類型、數據類型,使得來自這些設備的流量到達云數據中心以待處理的越來越多,從而也就造成了管理怎樣的設備與實體進行了通信交流也越來越具有挑戰性。“由于設備無序擴張的本性,再加上有著如此眾多不同的操作系統,以及物聯網設備的復雜性和生產廠商所供應的連接到物聯網游戲的產品數量之多,使得想要很好的維護命令和控制這些資產很快變得幾乎不可能。” Armor公司(前身為FireHost公司)的Threat Intelligence Lead部門的Chase Cunningham博士表示。
企業的創新正在超過物聯網在云數據中心的創新。他們經常雇用服務承包商在云中開發創新的應用程序。為此,他們采用虛擬機建立了開發資源。這是很好的。因為這使得這些開發的系統在真正被開發出來后的確是現實可行的。但這往往造成了不必要的虛擬機蔓延和安全攻擊面,而企業甚至可能都沒有意識到這些安全攻擊面存在于哪里、但其實它們是開放且脆弱的。“那些機器待在那里等待被告知應執行什么任務,為某些人提供了一個攻擊企業的途徑。“在過去幾年里,已經發生了幾次嚴重的違規行為了。” Cunningham說。
相應的也有某些安全違規是由大數據分析、處理和基礎設施技術所導致的,這些為都為攻擊者以知識產權的形式提供了動機,一種讓他們更有把握從其入侵企業的手段。諸如Hadoop和MapReduce等大數據工具,是相對較新的工具,具備額外的動態入口和出口點,而非法雇用的黑客對于這些安全漏洞再清楚不過了。 “在沒有比這能夠讓黑客獲得一個立足點站穩腳跟后,對企業造成損害更好的資源了。” Cunningham說。
當提及該動態入口和出口點時,移動和社交云數據訪問是進入到云數據中心的一個巨大的門口。隨著越來越多的社交惡意軟件和攻擊者通過移動設備或社交媒體進行網絡攻擊,現如今,移動設備和社交媒體已經成為可以直接威脅企業數據安全的一大隱患。 “而攻擊黑客們所需要做的工作就是在您企業的環境中監運行一款惡意代碼,同時將其同步到他們的Google Drive,這其中就包含了您公司的相關數據信息,那么就完蛋了,這一切即不違反您企業的終端管理,而無需通過惡意軟件掃描,也沒有使用網絡釣魚電子郵件。”Cunningham說。
移動設備并非黑客唯一可以采取的無需花費太多功夫就可以造成大規模安全漏洞被攻擊的攻擊向量。SDN和NFV將大量的網絡控制交付給軟件進行處理。在這些環境中,攻擊者只需要修改一些代碼來獲得某些密鑰甚至影響到整個企業網絡的資源,Cunningham說。 “然后,他們就可以將流量劫持到任何地方,如果他們愿意的話,他們可以使用虛擬路由器或交換機端口關閉整個數據流。”Cunningham說。
在這個變化的環境中保障數據安全
為了保護物聯網設備的新興負載,以及由這些設備所創造和傳遞的數據,企業必須首先針對這些設備將如何構建和落實,進而影響云資源,設置嚴格的控制政策和方法,Cunningham說。為了評估實施這些管理政策所導致的變化,企業必須在建立起了相應的管理政策之后,不斷地更新其技術。除非知道其是如何開始的,否則企業根本不知道發生了什么改變。企業應對每臺設備是如何進行通信的進行分類目錄,無論其是否通過藍牙連接網絡的。“如果您對于您企業的基礎設施看起來像什么樣都沒有一個很好的了解的前提下就開始整個云基礎架構的擴展部署,那么您在控制權之爭的戰斗中已經失敗了。”Cunningham說。
為了防止外包的開發人員在每一次創新中都創建一個新的攻擊向量,企業應了解其基礎設施在這些項目之前期間和之后的樣子。這樣一來,企業就可以確保在相關的項目完成、關閉或刪除之后,這些基礎設施不會繼續停留;而所有為項目需要而創建的開口,無論是開發人員的虛擬機或遠程登錄憑據都會被關閉。
為了關閉通往企業大數據資源的大門,企業應通過要求雙因素身份驗證以保護有共同點的脆弱的安全漏洞,如采用登錄屏幕和憑據。監測也可以提供幫助。“監控那些對于大數據存儲庫的異常訪問。” Cunningham說。
因為許多大數據技術都是為了方便企業用戶開箱即用的需求,具有其通達性和便利性,因而這方面需要進行一些定制化,以確保配置設置正確,能夠適當地鎖定這些工具,Gangwer說。
此外,大數據需要充分利用云數據復制的優勢,將數據從一個數據中心遷往下一個數據中心。“這就引出了一個在傳輸過程中的數據是否被加密的問題。”Gangwer說。其應該是的。而如果是醫療數據,就必須是。
無論攻擊者是如何侵入的,包括通過移動和社交訪問,他們的目的是必須得到企業的數據,然后利用這些數據。數據丟失防護工具則可以提供幫助。“一個真正有利的技術組合能夠專門提供給移動設備,使用企業存儲或container容器,并要求雙因素身份驗證才可以訪問企業數據。” Cunningham說。
為了確保企業為其SDN和NFV所選擇的開源軟件有更少的漏洞,務必確保只使用經過了很好的審核,并在全行業廣泛普及的技術。“任何一段離奇的代碼或者一個離奇的SDN技術,如果沒有一個其是安全的共識的話,都是不值得嘗試的。” Cunningham說。企業還應該測試使用滲透測試,以確保對這些環境的訪問受到限制。
