失控:反思企业云安全控制

  以前,我们曾确定了六种不同的云模型,并且基于具体的企业需求,确定了五种不同的企业部署模型。企业可能直接管控具体的云模型,采用一种直接的方式进行安全控制,但是当缺失这个层级的控制时,端到端的层模式保护需要减少恶意以及偶然的威胁。

  端到端的云保护本质上并非线性的,相反是一种球形的,由于弹性全球化业务模式、破坏性的计算技术以及动态威胁,控制片段会出现重叠。不论哪种可能发生的入侵载体,分层保护理论上可以停止攻击或者,至少能够对企业的安全团队做出事件警告。随着云不断延伸到企业网络边界,这些都成为迫切的需求,但实际上在传统形式中不用存在。

  对于一个要实现云中端到端的安全的企业而言,虽然其必须首先重视访问范围、控制范围以及针对云环境的安全控制方式能且必须适用那些转换范围。

  定义控制范围

  应用端到端的安全控制的能力首先依赖于企业能够理解访问范围,这意味着理解连接企业资产的设备类型,以及他们所利用的连接类型。

  例如,大多数企业为其员工购买笔记本电脑,但是这样的设备的移动性意味着他们并不总是面临着相同的威胁情况。当员工将其笔记本电脑带回家,并且通过消费者级别的网络或者厄运服务进行连接,他们在企业网络云环境中运行的用例将会发生改变。这种用例在员工出差时再一次发生变更,因为他们会用酒店和机场以及会议中心的WiFi热点连接企业网络。

  随着BYOD运动不断发展,企业也期望员工通过智能手机和平板电脑远程进行连接,至少可以查看公司电子邮件,尽管通过类似Salesforce.com这样的基于云的应用的风险,通常意味着员工在移动设备上进行更为复杂的任务,涉及很多类型的数据。这也代表了另一种用例,同样地这种设备也会被认为不受管理。通过移动劳动力,企业应该安全运作,并期望每一个用户至少有四种不同的用例:办公室、家庭、旅行和个人移动设备。

  端到端保护图示

  随着与员工在不同的网络和云之间移动,其访问范围显然会发生变化。企业的控制范围也发生了变化,意味着企业必须调整安全控制,从而能够处理这些不同的控制范围。

  比如,基于用户的角色访问具体的数据类型可能在其通过外部网络时受到限制。IT人员通常可以24/7/365访问企业放了,然而临时员工相比之下则只有在授权的情况下才可以访问企业服务。

  风险偏向也可能会影响访问层级,比如员工需要服从某种具体的法律法规内容。一些企业决定最好是为访问HIPAA保护的信息提供沙盒虚拟桌面。在这样的领域典型的配置包括消除用户行政权,利用预定义的应用,并严格通过企业的防火墙和内容保护技术访问互联网。

  尽管一旦用户转移到不可信网络上,最终企业在可信网络上的有效控制不再适用。比如,如果企业的防火墙不能管理这个连接,很可能反病毒服务器升级定义文件也不可访问,就需要技术进行修补。

  云安全控制

  新的云安全控制的开发需要一种系统的方法。控制设计的简单方法就是远近效应。基本上,安全控制在用户在可信网络上时需要远离,而在其处于不可信网络上时要紧贴用户。因此,当用户在非可信云环境中操作时,企业应该考虑大量的近距离安全控制,以便阻止恶意攻击,包括全磁盘加密、健壮密码强制执行、本地反病毒以及本地防火墙。

  企业进行云安全控制需要落实到位,并非一直如此直接,然而由于控制范围发生改变,企业必须为类似的转移做准备。控制在企业云上减少威胁的最好例子就是内容过滤技术,本质上限制了用户可能访问的网站类型,因此减少了受Web服务器牵连的客户端攻击的数量。然而,如果用户转到非可信云中,比如酒店或者甚至是家庭网络,他们可能在上网时有一个更好的自由度,绕过企业在云端设立的内容过滤技术,增加了客户端攻击的风险。

  不受重视的用例就是一个值得信任的客户,如果这个客户连接到企业云上,会对以前的可信环境带入一种完全不同的威胁因素。没有合适的远离控制,企业可能无法检测到可信客户充满恶意的行为,潜在地导致问题,减少客户的信心。

  每一种场景都需要控制

  不管企业是否提供云服务或者从云提供商处购买服务,需要理解端到端的云安全控制,这种控制要求减少各种可能的威胁。安全团队必须意识到云安全控制必须在用户的访问范围发生改变时做出改变。这也意味着技术必须在可信和非可信云之间合适的位置设置规则,方便通过不同的设备和网络访问。没有这样的控制,复杂且专业的攻击者不可避免地会找到攻击企业云基础架构的方法。

时间: 2024-10-13 09:41:22

失控:反思企业云安全控制的相关文章

对企业云安全控制的反思

以前,我们曾确定了六种不同的云模型,并且基于具体的企业需求,确定了五种不同的企业部署模型.企业可能直接管控具体的云模型,采用一种直接的方式进行安全控制,但是当缺失这个层级的控制时,端到端的层模式保护需要减少恶意以及偶然的威胁. 端到端的云保护本质上并非线性的,相反是一种球形的,由于弹性全球化业务模式.破坏性的计算技术以及动态威胁,控制片段会出现重叠.不论哪种可能发生的入侵载体,分层保护理论上可以停止攻击或者,至少能够对企业的安全团队做出事件警告.随着云不断延伸到企业网络边界,这些都成为迫切的需求

保护云中的API密钥 改善企业云安全

本文讲的是保护云中的API密钥 改善企业云安全,API密钥和SSL密钥一样是安全策略中头等大事.很多人口头上都说要保护云中的信息,但事实上在云安全方面我们都是摸着石头过河而已.大多数企业使用某些形式的API密钥来访问云服务.这些API密钥的保护十分重要.本文将就保护API密钥的问题进行讨论并为大家推荐一些方案. 2011年,API密钥的重要性逐渐被意识到,各企业对全力保护这些密钥的认识也加深了.毕竟,API密钥与访问云中的敏感信息有着直接关联.如果一家企业的API密钥管理松散,那么企业就处于这些

企业云安全审计要求与建议

如同合规要求一样,企业的云安全工作应该包含审计与保证.必须独立地实施审计,并且应该坚定地设计审计以便表现出最佳实践.恰当的资源,以及 经过检验的协议及标准.对于客户和服务提供商而言,内审和外审以及各种控制措施都是合情合理的.可为云计算效力的角色.在引入云计算的起步阶段,更多的透明度可能是增加利益相关者舒适度的最佳选择.审计是提供保证的方法之一,其保证运营风险管理活动得到彻底地检验和评审.组织最高级别的治理要素( 例如董事会和管理层)应该采纳并支持审计计划.对至关重要的系统及控制进行定期且独立的审

企业云安全的合规要求和应对建议

企业在使用云计算的过程中,面临很大的一个安全方面的问题就是需要应对各级主管部门的合规要求,本文将对企业云计算的合规要求和应 对方法进行详细介绍.企业云计算的合规总体需求企业将其业务从传统数据中心迁移至 云计算数据中心的选择将使其面临新的安全挑战,其中最重要的挑战之一即遵从 众多监管条例对交付.度量和通信的合规约束.云计算服务用户和供应商需要理解和掌握当前合规和审核标准.过程和实践的区别和意义.云计算分布式和虚拟化的特性需要基于具体化的信息和过程实体进行重大的框架调整.集中化和统一化的管理平台使云

应对云攻击 评估云安全控制是关键

随着针云攻击越来越多,企业用户必须提前对他们的云安全控制措施做好评估.在本文中,Dave Shackleford提供了一些防御云攻击的最佳实践.498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 517px; height: 256px" border="0" alt="应对云攻击 评估云安全控制是关键" src="http://

武装到“牙齿”!阿里云发布史上最强企业云安全架构 11层防护

9月28日,阿里云在北京正式发布首个企业云安全架构和<2017阿里云安全白皮书>(以下简称白皮书),企业可参考架构指南和白皮书构建安全.稳固的信息化架构.白皮书将用户隐私和数据安全列为第一原则,并于2015年全球首家将不碰客户数据写入正式文本,明确:数据是客户资产,云计算平台不得移作它用.同时,阿里云还首次推出了"5S安全标准",这也是业内首个云上安全标准. 阿里云想为客户提供极致安全 业内首个企业云安全架构发布 未来的企业都会基于云来搭建业务的安全系统,企业云安全架构(C

云栖大会之前 阿里云解释企业云安全架构逻辑

安全性是所有云计算平台都绕不开户的核心,一个基础常识是,所有客户考虑是否上云的第一点因素,就是云的安全性,也正是这一点,促使云服务商们大力关注自身安全性,不论是亚马逊还是阿里. 9月28日,阿里云在云栖大会之前,发布首个企业云安全架构,以及<2017阿里云安全白皮书>(简称白皮书). 阿里云安全事业部总经理肖力于现场表示,大量企业将业务部署在云端,但是国内90%的企业都没有自身的安全团队,安全水平不及格.仅有2%的公司会在安全上有较大投入. IDC中国企业研究部高级分析师赵明宇也强调了云上安全

阿里云发布史上最强企业云安全架构 11层防护 武装到“牙齿”

9月28日,阿里云在北京正式发布首个企业云安全架构和<2017阿里云安全白皮书>(以下简称白皮书),企业可参考架构指南和白皮书构建安全.稳固的信息化架构.白皮书将用户隐私和数据安全列为第一原则,并于2015年全球首家将不碰客户数据写入正式文本,并明确:数据是客户资产,云计算平台不得移作它用. "我们已经从全民PC安全时代迈入全民云安全时代,阿里云希望为企业提供一个可靠的安全架构体系指南,让安全成为一种基础能力." 阿里云安全资深总监肖力表示. 安全第一!数据安全和用户隐私是

CFO:让企业有控制地成长

首席财务官必须把握重点,帮助企业在高成长的业务战略和稳健的财务战略之间取得平衡,并且在追求经济利益的同时,进行有效的风险管理 □ 本刊记者 赵敏 如果你还把CFO(首席财务官)当成"总会计师"之类的技术官,那么你已经OUT了.昔日被大家看作只关心公司帐目.帐单以及相关税务的职位,现在被越来越多的认为与CEO一样至关重要--企业共同的掌舵人. 在今年<首席财务官>杂志社举办的"2009年度中国CFO最信赖的百家服务机构评选"活动中,全球商务软件解决方案提供