对企业云安全控制的反思

  以前,我们曾确定了六种不同的云模型,并且基于具体的企业需求,确定了五种不同的企业部署模型。企业可能直接管控具体的云模型,采用一种直接的方式进行安全控制,但是当缺失这个层级的控制时,端到端的层模式保护需要减少恶意以及偶然的威胁。

  端到端的云保护本质上并非线性的,相反是一种球形的,由于弹性全球化业务模式、破坏性的计算技术以及动态威胁,控制片段会出现重叠。不论哪种可能发生的入侵载体,分层保护理论上可以停止攻击或者,至少能够对企业的安全团队做出事件警告。随着云不断延伸到企业网络边界,这些都成为迫切的需求,但实际上在传统形式中不用存在。

  对于一个要实现云中端到端的安全的企业而言,虽然其必须首先重视访问范围、控制范围以及针对云环境的安全控制方式能且必须适用那些转换范围。

  定义控制范围

  应用端到端的安全控制的能力首先依赖于企业能够理解访问范围,这意味着理解连接企业资产的设备类型,以及他们所利用的连接类型。

  例如,大多数企业为其员工购买笔记本电脑,但是这样的设备的移动性意味着他们并不总是面临着相同的威胁情况。当员工将其笔记本电脑带回家,并且通过消费者级别的网络或者厄运服务进行连接,他们在企业网络云环境中运行的用例将会发生改变。这种用例在员工出差时再一次发生变更,因为他们会用酒店和机场以及会议中心的WiFi热点连接企业网络。

  随着BYOD运动不断发展,企业也期望员工通过智能手机和平板电脑远程进行连接,至少可以查看公司电子邮件,尽管通过类似Salesforce.com这样的基于云的应用的风险,通常意味着员工在移动设备上进行更为复杂的任务,涉及很多类型的数据。这也代表了另一种用例,同样地这种设备也会被认为不受管理。通过移动劳动力,企业应该安全运作,并期望每一个用户至少有四种不同的用例:办公室、家庭、旅行和个人移动设备。

  

  端到端保护图示

  随着与员工在不同的网络和云之间移动,其访问范围显然会发生变化。企业的控制范围也发生了变化,意味着企业必须调整安全控制,从而能够处理这些不同的控制范围。

  比如,基于用户的角色访问具体的数据类型可能在其通过外部网络时受到限制。IT人员通常可以24/7/365访问企业放了,然而临时员工相比之下则只有在授权的情况下才可以访问企业服务。

  风险偏向也可能会影响访问层级,比如员工需要服从某种具体的法律法规内容。一些企业决定最好是为访问HIPAA保护的信息提供沙盒虚拟桌面。在这样的领域典型的配置包括消除用户行政权,利用预定义的应用,并严格通过企业的防火墙和内容保护技术访问互联网。

  尽管一旦用户转移到不可信网络上,最终企业在可信网络上的有效控制不再适用。比如,如果企业的防火墙不能管理这个连接,很可能反病毒服务器升级定义文件也不可访问,就需要技术进行修补。

  云安全控制

  新的云安全控制的开发需要一种系统的方法。控制设计的简单方法就是远近效应。基本上,安全控制在用户在可信网络上时需要远离,而在其处于不可信网络上时要紧贴用户。因此,当用户在非可信云环境中操作时,企业应该考虑大量的近距离安全控制,以便阻止恶意攻击,包括全磁盘加密、健壮密码强制执行、本地反病毒以及本地防火墙。

  企业进行云安全控制需要落实到位,并非一直如此直接,然而由于控制范围发生改变,企业必须为类似的转移做准备。控制在企业云上减少威胁的最好例子就是内容过滤技术,本质上限制了用户可能访问的网站类型,因此减少了受Web服务器牵连的客户端攻击的数量。然而,如果用户转到非可信云中,比如酒店或者甚至是家庭网络,他们可能在上网时有一个更好的自由度,绕过企业在云端设立的内容过滤技术,增加了客户端攻击的风险。

  不受重视的用例就是一个值得信任的客户,如果这个客户连接到企业云上,会对以前的可信环境带入一种完全不同的威胁因素。没有合适的远离控制,企业可能无法检测到可信客户充满恶意的行为,潜在地导致问题,减少客户的信心。

  每一种场景都需要控制

  不管企业是否提供云服务或者从云提供商处购买服务,需要理解端到端的云安全控制,这种控制要求减少各种可能的威胁。安全团队必须意识到云安全控制必须在用户的访问范围发生改变时做出改变。这也意味着技术必须在可信和非可信云之间合适的位置设置规则,方便通过不同的设备和网络访问。没有这样的控制,复杂且专业的攻击者不可避免地会找到攻击企业云基础架构的方法。

时间: 2024-10-10 03:22:32

对企业云安全控制的反思的相关文章

失控:反思企业云安全控制

以前,我们曾确定了六种不同的云模型,并且基于具体的企业需求,确定了五种不同的企业部署模型.企业可能直接管控具体的云模型,采用一种直接的方式进行安全控制,但是当缺失这个层级的控制时,端到端的层模式保护需要减少恶意以及偶然的威胁. 端到端的云保护本质上并非线性的,相反是一种球形的,由于弹性全球化业务模式.破坏性的计算技术以及动态威胁,控制片段会出现重叠.不论哪种可能发生的入侵载体,分层保护理论上可以停止攻击或者,至少能够对企业的安全团队做出事件警告.随着云不断延伸到企业网络边界,这些都成为迫切的需求

应对云攻击 评估云安全控制是关键

随着针云攻击越来越多,企业用户必须提前对他们的云安全控制措施做好评估.在本文中,Dave Shackleford提供了一些防御云攻击的最佳实践.498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 517px; height: 256px" border="0" alt="应对云攻击 评估云安全控制是关键" src="http://

Docker对企业云安全产生的影响是怎样的?

Docker给应用虚拟化带来了改进,但这对安全性又意味着什么?在本文中,专家Ed Moyle介绍了Docker以及它对企业和云安全的影响. 如果你是应用开发人员或者虚拟环境的系统管理员,在过去一年左右的时间,你肯定听到了不少关于Docker的消息.这个针对Linux应用容器虚拟化的平台现在非常"火爆",Docker为开发团队带来的灵活性以及给数据中心带来的性能优势可能带来革命性变化. 但是,安全专业人员可能不太熟悉Docker.很多人可能还没有听说过Docker,而对于知道Docker

云安全仍然是最受关注的问题

如果将目前针对"采用云计算的最高关注度"的调查结果与五年前的调查结果进行一次比较,那么人们看到当时的提出的首要问题是安全性,其次是数据隐私或保护.而在五年之后,人们对这两方面的担忧仍未消失. 然而,如今的不同之处在于,对云计算中应用程序和数据的担忧现在更多地来自实际的安全性问题,而不是假设的.五年前,首席信息安全官(CISO)对云计算的概念安全性比较关注,即如果将数据放在云计算中,是否将是安全的?现在他们担心的是如何确保他们的系统安全,以及扩展现有的网络安全技能.过程和控制,以强制执行

云计算2015展望:云安全是上上策

云服务已经成为IT新形态的一部分,通常意义上说的是"混合",我们现在管理IT所使用的方法和工具一直在进化,不断成熟,这一点似乎越来越明显,也许不同的公司进化的速度是不一样的. Gartner调查显示,55%的CIO表示,2020年他们会把所有关键应用都迁移到云端.云服务用例可能会有很大区别,但却有共同的主题,就是把传统应用转型为SaaS,或者通过RaaS给现 有的数据中心添加灾难恢复.498)this.w idth=498;' onmousewheel = 'javascript:re

从拒绝到拥抱 企业经历云安全的六个阶段

对云安全发展持续数年的观察可以发现,很多企业倾向于遵循一定的动作模式来采纳公共云计算,其经历的大致阶段一般如下: 1. 保守阶段 这期间,CISO抗拒云计算,宣称工作负载在公共云上得不到足够的安全防护.这种行为在后来者或非常保守的公司中还时有发生,但云计算绝对在大多数大企业中起航了.换句话说,CISO不能逃避面对云计算,相反,他们必须弄清楚如何保护基于云的工作负载,不管他们喜欢与否. 2. 传统安全阶段 当企业开始试水公共云计算,安全团队偏向使用原有的内部安全监视和实施工具--防火墙.代理.反病

Ribose 加入云安全联盟

重新定义了云端协作方式的初创企业 Ribose 已加入云安全联盟(Cloud Security Alliance,简称"CSA"或"云安联"),携手推广云计算安全.云安全联盟制定了首个业界认可的云安全标准:云安全控制矩阵(Cloud Controls Matrix,简称"CCM");其会员包括多个技术杰出企业,如亚马逊[微博](327.44, 3.28, 1.01%) (Amazon).惠普[微博](33.59, -0.36,-1.06%) (H

云安全的含义及研究方向

云计算的出现使得公众客户获得低成本.高性能.快速配置和海量化的计算服务成为可能.但正如一件新鲜事物在带给我们好处的同时,也会带来问题一样,云计算在带给我们规模经济.高应用可用性益处的同时,其核心技术特点(虚拟化.资源共享.分布式等)也决定了它在安全性上存在着天然隐患.例如,当数据.信息存储在物理位置不确定的"云端",服务安全.数据安全与隐私安全如何保障?这些问题是否会威胁到个人.企业以至国家的信息安全?虚拟化模式下业务的可用性如何保证?为此,现阶段云安全研究成为云计算应用发展中最为重要

怎样将现有应用迁移到 VMware NSX

本文讲的是 怎样将现有应用迁移到 VMware NSX,安全策略肯定会有需要调整的时候,而识别和设计微分段区和层,有可能非常棘手. WMware的NSX虚拟网络技术可以帮助公司企业获得更高水平的网络安全,但怎样部署,取决于你用的是全新应用(新区建设),还是从现有基础设施中将应用迁进NSX(旧城改造). NSX的微分段功能,基本上就是对每个服务器设置虚拟防火墙,控制进出流量,限制黑客在网络内的游弋探索,让应用和数据保护工作更简单易行.它实现过去只有靠超级昂贵和复杂的硬件才能达到的安全水准. 从安全