云采用是許多組織實(shí)現(xiàn)IT現(xiàn)代化的催化劑
在企業(yè)采用云計(jì)算之前的一些不安全I(xiàn)T程序必須得到改進(jìn),以防止數(shù)據(jù)泄露和系統(tǒng)漏洞。
近年來,對IT管理人員來說最大的變化之一是云計(jì)算,這要求IT管理人員需要轉(zhuǎn)變他們在內(nèi)部部署運(yùn)行業(yè)務(wù)的思維方式。問題不在于云計(jì)算。畢竟,如果云計(jì)算供應(yīng)商可以幫助IT管理人員維護(hù)服務(wù)器,工作量應(yīng)該會減少。采用云計(jì)算揭露了業(yè)界一些過時(shí)的方法論,這推動了IT現(xiàn)代化。由于外部訪問受到限制,因此在云計(jì)算出現(xiàn)之前,許多IT部門的實(shí)踐并沒有那么嚴(yán)格。
時(shí)代變遷和新技術(shù)推動信息技術(shù)現(xiàn)代化
當(dāng)企業(yè)在內(nèi)部部署數(shù)據(jù)中心開展業(yè)務(wù)時(shí),添加精細(xì)控制的防火墻規(guī)則僅允許某些連接進(jìn)出很容易。內(nèi)部部署基于Web的應(yīng)用程序不需要HTTPS——只是普通的HTTP可以正常工作。這似乎很難理解。企業(yè)網(wǎng)絡(luò)上的任何人都有權(quán)進(jìn)入,因此數(shù)據(jù)是否加密都沒有關(guān)系。很多人表示,這種努力應(yīng)對風(fēng)險(xiǎn)是不值得的,不必如此麻煩,反正用戶也不知道。
企業(yè)會找到不同的方法來限制威脅,例如可以采用802.1X,它只允許采用網(wǎng)絡(luò)上的授權(quán)設(shè)備。這降低了產(chǎn)生漏洞的可能性,因?yàn)榫W(wǎng)絡(luò)攻擊者既需要對網(wǎng)絡(luò)的物理訪問,又需要進(jìn)入獲得批準(zhǔn)的設(shè)備。而采用Active Directory可能會很混亂,它對帳戶管理和清理的態(tài)度很寬松,只要每個(gè)人都能做好自己的工作,這就沒問題。
前云時(shí)代允許許多捷徑,因?yàn)檫@些事情實(shí)施的方式影響業(yè)務(wù)的風(fēng)險(xiǎn)較小。進(jìn)入新工作崗位的IT管理人員通常會從原來IT團(tuán)隊(duì)得到一個(gè)爛攤子,因?yàn)椴]有動力進(jìn)行清理,只希望保持那些現(xiàn)有的工作負(fù)載運(yùn)行正常。現(xiàn)在,通過云計(jì)算將企業(yè)的IT系統(tǒng)暴露給外界的風(fēng)險(xiǎn)越來越大,而繼續(xù)以同樣的方式做事已不再是一種可行的選擇。
使用微軟公司的Azure Active Directory時(shí),默認(rèn)配置就是有關(guān)云計(jì)算如何迫使IT更改的一個(gè)示例。除非企業(yè)應(yīng)用過濾功能,否則此產(chǎn)品會將每個(gè)Active Directory對象同步到云平臺。官方文檔指出這是推薦的配置。而在幾年前在LinkedIn公司數(shù)據(jù)泄露期間泄露的每個(gè)密碼現(xiàn)在都在云中,可供任何人使用。這些賬戶從幾年前被人遺忘的混亂狀態(tài)變成了定時(shí)炸彈,網(wǎng)絡(luò)攻擊者可以成功登錄,同時(shí)能夠?yàn)g覽大量用戶名和密碼組合的列表。
回到HTTP/HTTPS端,用戶現(xiàn)在希望在家中或可能有Internet連接的任何地方工作。他們還希望通過任何設(shè)備(例如筆記本電腦、手機(jī)或平板電腦)來實(shí)現(xiàn)這一目標(biāo)。開放內(nèi)部網(wǎng)站(而且在許多情況下仍然如此)曾經(jīng)是突破防火墻并希望獲得最佳結(jié)果的情況。在未在加密的HTTP站點(diǎn)的情況下,從用戶看到的所有內(nèi)容到用戶輸入的任何內(nèi)容(例如用戶名和密碼),其輸入和輸出的所有數(shù)據(jù)均會受到威脅。企業(yè)的用戶可以通過免費(fèi)Wi-Fi連接進(jìn)入。對于網(wǎng)絡(luò)攻擊者而言,建立偽造的中繼訪問點(diǎn),監(jiān)聽所有數(shù)據(jù)并讀取未加密的內(nèi)容并不困難。
如何容納用戶并加強(qiáng)安全性
眾所周知,如果IT部門專注于讓用戶滿意而不是業(yè)務(wù)安全,那么很容易陷入高風(fēng)險(xiǎn)的境地。那么如何過渡到更安全的環(huán)境?IT管理人員需要立即采取一些行動:
- 清理Active Directory。審核帳戶,禁用未使用的帳戶,使帳戶清晰合理,并從頭到尾實(shí)施客戶管理流程。
- 查看企業(yè)的密碼策略。如果沒有其他保護(hù)措施,需要定期循環(huán)使用密碼,并提高一定程度的復(fù)雜性。查看其他用于增強(qiáng)保護(hù)的方法,例如Azure Active Directory提供的多因素身份驗(yàn)證(MFA),可以消除密碼循環(huán)。為了獲得更高的安全性,請將多因素身份驗(yàn)證(MFA)與條件訪問結(jié)合使用,以便在受信任的網(wǎng)絡(luò)或使用受信任的設(shè)備中的用戶甚至都不需要多因素身份驗(yàn)證(MFA)。
- 查看并報(bào)告帳戶使用情況。如果帳戶使用出現(xiàn)問題,應(yīng)該盡快知道要采取糾正措施。諸如身份保護(hù)功能Azure Active Directory之類的技術(shù)會對可疑活動發(fā)出警報(bào)并進(jìn)行補(bǔ)救,例如從該帳戶不典型的位置登錄。
- 在所有站點(diǎn)上實(shí)施HTTPS。IT人員不必為每個(gè)站點(diǎn)都購買證書即可啟用HTTPS。如果該站點(diǎn)僅用于可以在其上部署證書鏈的受信任計(jì)算機(jī),則可以節(jié)省資金并自己生成它們。另一種選擇是購買通配符證書以便在任何地方使用。在部署證書之后,可以使用Azure Active Directory應(yīng)用程序代理公開所需的站點(diǎn),而不是在防火墻中打開端口。這具有強(qiáng)制用戶在進(jìn)入內(nèi)部站點(diǎn)之前強(qiáng)制Azure Active Directory登錄以應(yīng)用MFA和身份保護(hù)的附加好處,而不管設(shè)備和物理位置如何。
這些IT管理人員的思維方式從內(nèi)部部署更改為云計(jì)算時(shí)需要考慮的一些關(guān)鍵方面。這是對這些區(qū)域進(jìn)行仔細(xì)查看的基本概述。而這些IT管理人員根據(jù)計(jì)劃使用的云計(jì)算服務(wù),還需要考慮很多問題。
