云計(jì)算安全服務(wù)優(yōu)勢(shì)與風(fēng)險(xiǎn)詳解

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

時(shí)代在改變，現(xiàn)在安全專業(yè)人士的“武器庫”中出現(xiàn)了新的武器來打擊不斷增加的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)—云計(jì)算。信息安全領(lǐng)域向我們隱藏了一個(gè)黑暗秘密：我們正在打一場(chǎng)必輸?shù)膽?zhàn)爭(zhēng)，并且以驚人的速度以數(shù)據(jù)泄露的形式失去我們的陣地。這并不是因?yàn)槲覀冊(cè)诒Ｗo(hù)企業(yè)資產(chǎn)方面不夠努力，而是歸結(jié)于一個(gè)簡單的事實(shí)：與我們的防御相比，攻擊者有更多的時(shí)間和工具發(fā)動(dòng)攻擊。一些企業(yè)根本沒有足夠的資金投資于信息安全計(jì)劃所需的資源，而其他企業(yè)則試圖以最少的人員和預(yù)算部署“半吊子”信息安全計(jì)劃，以滿足合規(guī)要求?？梢?，我們正在打一場(chǎng)輸仗并不是一個(gè)秘密。

越來越多的企業(yè)開始部署云計(jì)算，來幫助降低成本、提高靈活性和提供業(yè)務(wù)專業(yè)技能。基于云計(jì)算的安全服務(wù)也具有相同的優(yōu)勢(shì)。這種新興的安全即服務(wù)模式為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御提供了前所未有的公平競(jìng)爭(zhēng)環(huán)境。不過，需要注意的是，部署企業(yè)云解決方案所涉及的風(fēng)險(xiǎn)同樣存在于部署基于云計(jì)算的安全服務(wù)中。那么，你知道何時(shí)安全即服務(wù)適合你的企業(yè)嗎？企業(yè)需要考慮基于云計(jì)算的安全服務(wù)的優(yōu)點(diǎn)和缺點(diǎn)。

云計(jì)算安全服務(wù)優(yōu)勢(shì)

1.人員力量增強(qiáng)

信息安全是一種勞動(dòng)密集型工作。我們可以自動(dòng)化很多工作，但最終總是需要人來做出判斷。我們需要從服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻和入侵檢測(cè)系統(tǒng)收集日志，這些都要求工作人員完全集中注意力。勞動(dòng)力是安全計(jì)劃中最繁忙的。數(shù)據(jù)泄露隨時(shí)可能會(huì)發(fā)生，而系統(tǒng)始終“忠誠地”記錄著信息，直到有人有足夠的時(shí)間來轉(zhuǎn)譯這些日志信息。最近發(fā)生了很多涉及系統(tǒng)滲透的數(shù)據(jù)泄露事故，這些泄露數(shù)月后才被安全團(tuán)隊(duì)發(fā)現(xiàn)。并且，這些數(shù)據(jù)泄露事故的報(bào)告往往來自外部第三方，因?yàn)閮?nèi)部沒有人有時(shí)間來轉(zhuǎn)譯這些日志數(shù)據(jù)。

這也是安全即服務(wù)派上用場(chǎng)的地方。云計(jì)算主要是共享資源以實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)。安全即服務(wù)解決方案可以指派團(tuán)隊(duì)處理特定活動(dòng)(例如監(jiān)控日志)，并在很多不同客戶間分?jǐn)偝杀?，為大家降低單位成本。安全?jì)劃現(xiàn)在可以提供一個(gè)專門的日志監(jiān)控小組，如果沒有基于云計(jì)算的模式，這是不可能實(shí)現(xiàn)的。這提高了安全計(jì)劃的有效性，并且讓內(nèi)部人員有更多時(shí)間放在更高層次的風(fēng)險(xiǎn)管理工作上。

2.提供先進(jìn)的安全工具

我們都做過這樣的事：下載需要投入大量時(shí)間以降低安全風(fēng)險(xiǎn)的開源安全工具。這些開源工具是免費(fèi)的，并且也不需要其他預(yù)算。開源技術(shù)并沒有問題，甚至非常好用。不幸的是，開源技術(shù)需要花費(fèi)大量時(shí)間來在生產(chǎn)環(huán)境中安裝和維護(hù)。例如，你花了多少小時(shí)來試圖找到一個(gè)Snort規(guī)則，以讓你的IDS服務(wù)啟動(dòng)？

在另一個(gè)領(lǐng)域，部署安全即服務(wù)也十分有效：你的安全計(jì)劃還可以通過云計(jì)算規(guī)模經(jīng)濟(jì)獲得先進(jìn)的安全工具。這些可用安全工具的質(zhì)量和種類可以與其他企業(yè)內(nèi)部部署的商業(yè)產(chǎn)品媲美，且花費(fèi)沒那么多。更重要的是，這些工具將由云服務(wù)供應(yīng)商來維護(hù)，所以你有足夠的時(shí)間來利用這些工具的優(yōu)勢(shì)。

3.提供專業(yè)技術(shù)知識(shí)

信息安全是一個(gè)廣泛的話題，不可能有人了解各個(gè)方面的各個(gè)細(xì)節(jié)。例如，一些安全專業(yè)人士專注于取證，而另一些則專注于Web應(yīng)用安全。其他人則因?yàn)樵谄髽I(yè)的安全計(jì)劃中缺乏足夠的人力資源，而僅有全面但不精細(xì)的安全知識(shí)。這種知識(shí)方面的差距可能導(dǎo)致嚴(yán)重的盲點(diǎn)--無法察覺到風(fēng)險(xiǎn)，更別提緩解風(fēng)險(xiǎn)。

安全即服務(wù)可以幫助解決這個(gè)問題。提供基于云計(jì)算的安全的供應(yīng)商主要側(cè)重于信息安全的特定方面。例如，一些供應(yīng)商提供基于云的漏洞掃描儀(由專家維護(hù))來檢測(cè)互聯(lián)網(wǎng)中可利用的系統(tǒng)。其他云供應(yīng)商則圍繞抵御拒絕服務(wù)(DoS)攻擊來建立自己的整個(gè)網(wǎng)絡(luò)。企業(yè)沒有足夠的資金聘請(qǐng)相關(guān)安全專家或部署資源，而安全即服務(wù)讓企業(yè)可以利用這些專家和資源的優(yōu)勢(shì)。這使得內(nèi)部安全人員不用過多關(guān)注技術(shù)細(xì)節(jié)，而更多地關(guān)注如何戰(zhàn)略性地管理企業(yè)的信息安全風(fēng)險(xiǎn)。

4. 將信息安全定位為業(yè)務(wù)推動(dòng)力

信息安全部門通常被認(rèn)為是在企業(yè)活動(dòng)中設(shè)置路障的部門，造成這種想法的原因有很多，而這實(shí)際上可能并不是信息部門的錯(cuò)誤。企業(yè)中的一些人可能不理解用于保護(hù)機(jī)密數(shù)據(jù)的加密或防火墻技術(shù)的重要性。即使他們明白這些技術(shù)背后的原因，他們肯定也不明白部署這些安全技術(shù)所需要的時(shí)間。

安全即服務(wù)也可以幫助解決這個(gè)問題。它不能讓企業(yè)其他部門了解安全需求，但它能確保更快的部署安全技術(shù)，而這可以減少既定的企業(yè)項(xiàng)目的影響。這是所有基于云計(jì)算的安全服務(wù)的一個(gè)關(guān)鍵優(yōu)勢(shì)，安全計(jì)劃必須利用這一優(yōu)勢(shì)。例如，虛擬服務(wù)器可以快速自動(dòng)地通過相同的防火墻規(guī)則來配置。這還可以讓信息安全部門與企業(yè)領(lǐng)導(dǎo)建立不同的關(guān)系，并可以改變?nèi)藗儗?duì)信息安全的看法，將其視為業(yè)務(wù)推動(dòng)者，而不是障礙。

5.一種新方法

除了安全即服務(wù)的諸多好處外，一些新類型基于云計(jì)算的安全也具有一定的優(yōu)勢(shì)。除了傳統(tǒng)的電子郵件和Web過濾安全即服務(wù)外，還有一些新服務(wù)值得企業(yè)關(guān)注，它們可以幫助解決安全行業(yè)一直在努力解決而未見成效的老問題。云計(jì)算模式的引入為我們提供了一種新方法，也許可以幫助我們解決這些難題。

6.身份管理

密碼是眾多老問題中的一個(gè)，它幾乎與多用戶計(jì)算同時(shí)出現(xiàn)。在20世紀(jì)80年代的一部電影中，我們看到了一個(gè)黑客從便利貼竊取系統(tǒng)密碼，現(xiàn)在，員工仍然將寫有密碼的便利貼放在其鍵盤下。用戶管理單個(gè)密碼都有困難，更別提現(xiàn)代環(huán)境中讓他們背負(fù)10個(gè)密碼。

對(duì)于系統(tǒng)管理員和人力資源部門而言，管理員工賬戶并不是簡單的工作。新員工都在等待訪問系統(tǒng)以完成其工作，而有時(shí)候，當(dāng)員工離職后，其賬戶可能沒有被及時(shí)禁用。這種復(fù)雜的手動(dòng)系統(tǒng)給系統(tǒng)管理員和人力資源兩方面都帶來安全風(fēng)險(xiǎn)。

有幾個(gè)可靠的安全即服務(wù)產(chǎn)品可以加快賬戶管理過程，并提供單點(diǎn)登錄功能。它們可以與云端的系統(tǒng)以及內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)配合使用。這些服務(wù)利用了開放標(biāo)準(zhǔn)協(xié)議(例如SAML)，甚至允許結(jié)合內(nèi)部微軟Active Directory基礎(chǔ)設(shè)施。通過這種混合方法，即內(nèi)部和外部服務(wù)從同一來源進(jìn)行身份驗(yàn)證，企業(yè)可以節(jié)省時(shí)間和資金，簡化密碼過程，同時(shí)還降低整體風(fēng)險(xiǎn)。

7.虛擬機(jī)管理

在單個(gè)硬件服務(wù)器運(yùn)行多個(gè)虛擬服務(wù)器是信息技術(shù)領(lǐng)域最具顛覆性的改變。企業(yè)迅速部署私有云、公共云和混合云來取代擠滿數(shù)據(jù)中心的物理硬件。然而，這項(xiàng)技術(shù)也可能給信息安全帶來破壞性的影響，同時(shí)帶來更多新的挑戰(zhàn)。

在公共云或私有云管理虛擬服務(wù)器的挑戰(zhàn)之一是配置管理。配置管理包括通過基于企業(yè)政策的安全方法配置和維護(hù)服務(wù)器，這些方法有防火墻政策、文件系統(tǒng)權(quán)限和安裝的服務(wù)。支持這一過程的技術(shù)已經(jīng)充斥在數(shù)據(jù)中心中?；谠朴?jì)算的配置管理系統(tǒng)需要能夠跨多個(gè)云服務(wù)供應(yīng)商和內(nèi)部數(shù)據(jù)中心提供這種功能。

用于配置管理的基于云計(jì)算的安全服務(wù)提供這種功能。它們用越來越多針對(duì)Windows服務(wù)器的功能提供對(duì)Linux的完整控制，它們還可以用于GoDaddy.com托管的服務(wù)器以及Linode托管的服務(wù)器。令人驚訝的是，這些新的基于云的配置管理系統(tǒng)更易于配置，并且與之前內(nèi)部托管系統(tǒng)一樣強(qiáng)大。這是值得安全專業(yè)人士關(guān)注的另一個(gè)基于云計(jì)算的安全服務(wù)，即使他們只有內(nèi)部服務(wù)器資源需要管理。

8.網(wǎng)絡(luò)層保護(hù)

在過去幾年中，保護(hù)對(duì)基于互聯(lián)網(wǎng)的資產(chǎn)的網(wǎng)絡(luò)連接變得越來越迫切?，F(xiàn)在，網(wǎng)站正越來越多地受到網(wǎng)絡(luò)犯罪分子和黑客組織的攻擊。黑客組織Anonymous使用低技術(shù)工具(例如Low Orbit Ion Cannon)對(duì)各種企業(yè)發(fā)動(dòng)DoS攻擊繼續(xù)成為新聞?lì)^條，這種類型的攻擊主要出現(xiàn)在企業(yè)靠互聯(lián)網(wǎng)來訪問基于云的應(yīng)用的當(dāng)下。

對(duì)這種針對(duì)云資產(chǎn)的攻擊的最好防御其實(shí)是云本身。一些安全即服務(wù)解決方案通過利用大量帶寬和智能協(xié)議路由，來提供針對(duì)DoS攻擊的保護(hù)。這些服務(wù)還可以將Web服務(wù)器隱藏在其前端服務(wù)器后，防止遭受路過式攻擊。其他基于云計(jì)算的安全包括PCI DSS、數(shù)據(jù)標(biāo)記化、web應(yīng)用防火墻以及隱藏DNS服務(wù)器。

云計(jì)算安全服務(wù)的風(fēng)險(xiǎn)

對(duì)于緩解安全風(fēng)險(xiǎn)，世界上并不存在完美的工具，安全即服務(wù)也不例外?；谠朴?jì)算的安全服務(wù)和所有其他云服務(wù)相同的安全風(fēng)險(xiǎn)一樣，主要分為以下幾個(gè)類別：

1. 云供應(yīng)商對(duì)你的數(shù)據(jù)擁有一定程度的訪問權(quán)限。云供應(yīng)商必須謹(jǐn)慎處理安全相關(guān)的數(shù)據(jù)，因?yàn)檫@些數(shù)據(jù)的泄露可能導(dǎo)致多個(gè)數(shù)據(jù)泄露事故。更全面的云計(jì)算服務(wù)應(yīng)使用加密技術(shù)，但這里仍然存在供應(yīng)商密鑰管理的問題。對(duì)于需要擁有最高數(shù)據(jù)保密性的應(yīng)用的企業(yè)，最好考慮使用內(nèi)部解決方案。

2. 安全即服務(wù)將是從互聯(lián)網(wǎng)訪問。對(duì)于內(nèi)部系統(tǒng)，安全專業(yè)人員不需要考慮這個(gè)風(fēng)險(xiǎn)，在過去，將內(nèi)部防火墻管理工具暴露在互聯(lián)網(wǎng)從來都是不被接受的做法。這些服務(wù)器的身份驗(yàn)證系統(tǒng)必須提供強(qiáng)大的多因素身份驗(yàn)證，以確保適當(dāng)?shù)谋Ｗo(hù)水平。你還需要考慮潛在的DoS攻擊，如果沒有強(qiáng)大的保護(hù)，攻擊者可能會(huì)修改服務(wù)或者阻止企業(yè)管理或訪問這些服務(wù)。

3. 安全即服務(wù)供應(yīng)商間輸出服務(wù)的開放標(biāo)準(zhǔn)不太可能。使用這些服務(wù)的企業(yè)需要明白供應(yīng)商間的任何切換將是完全手動(dòng)的操作，包括在新供應(yīng)商處重新建立防火墻規(guī)則、虛擬機(jī)配置和身份驗(yàn)證方法。

4. 企業(yè)應(yīng)該進(jìn)行詳細(xì)的供應(yīng)商盡職調(diào)查審計(jì)，以對(duì)待任何其他云服務(wù)供應(yīng)商的方式來對(duì)待安全即服務(wù)。企業(yè)應(yīng)該仔細(xì)選擇供應(yīng)商，并調(diào)查其財(cái)務(wù)狀況，以確保他們不會(huì)突然人間蒸發(fā)。徹底檢查服務(wù)供應(yīng)商的信息安全狀態(tài)，從SAS-70或者SSAE-16審計(jì)報(bào)告以及漏洞評(píng)估報(bào)告開始。企業(yè)需要完全信任云供應(yīng)商，所以，這種審計(jì)是至關(guān)重要的。

5. 對(duì)于基于云計(jì)算的安全服務(wù)，合規(guī)是另一個(gè)難以解決的問題。一個(gè)服務(wù)可以提供一流的審計(jì)報(bào)告，并滿足所有盡職調(diào)查的技術(shù)要求，然而，卻可能仍然不能滿足合約或法律協(xié)議，例如HIPAA法案要求的商業(yè)伙伴合約(Business Associate Agreement)。這種情況正在改善，但企業(yè)必須了解安全即服務(wù)供應(yīng)商將如何滿足其特定的合規(guī)要求。

很多信息安全專業(yè)人士對(duì)部署任何類型的外包服務(wù)都充滿焦慮，這是安全即服務(wù)需要考慮的。目前的經(jīng)濟(jì)發(fā)展讓很多類型的員工產(chǎn)生一定的抗拒，安全專業(yè)人士擔(dān)心自己被云服務(wù)取代。然而，這些新服務(wù)可以讓安全專業(yè)人士將時(shí)間和精力投入到更高水平的戰(zhàn)略性安全項(xiàng)目中，而不是每天的日常維護(hù)工作。這將有助于安全計(jì)劃實(shí)現(xiàn)更高的效率，而這實(shí)際上還可能增加工作安全性。此外，誰真的愿意花整晚的時(shí)間來編制另一個(gè)更新版本的Snort？
 

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

◆如何在云計(jì)算環(huán)境下簡化數(shù)據(jù)中心運(yùn)維

◆七大云安全核心技術(shù)盤點(diǎn)

◆盤點(diǎn)云安全問題與預(yù)防措施

◆設(shè)備管理軟件軟件專區(qū)