目前,云计算已成为几乎每一家企业IT战略和组织架构中不可或缺的一部分了,所以企业相应的运行成本也在越来越多地转嫁至第三方,而由第三方来管理和维护企业的内部服务。
云计算服务供应商现在也在提供多元化的服务,其中包括薪资、招聘、绩效管理、培训以及存储等。随着平均计算成本的不断降低,对于技术专业知识及其相关资源的需求却在不断增长,这主要是由于服务消费者和服务供应商之间互联性需求而造成的。
由于云计算的影响,各个行业条线的安全从业人员都处在一个与他们的IT同行们不同的独特位置。鉴于后者的控制与责任范围往往局限于企业办公室和数据中心,而安全从业人员则还必须考虑通常被称为云计算的第三方网络以及他们控制范围以外的设备。无论你是一名管理着安全专业人士技术团队的首席信息安全官,还是一名负责确保企业关键资产安全性的安全工程师,掌握云计算知识已经成为成功保护企业用户、数据以及基础设施的基本素质要求了。
当然,在安全专业人士保护与云计算相关的资产之前,他们可能需要回答一个貌似非常简单的问题。即,何为云计算?在本文中,我们将从现有的云计算定义入手,然后从企业安全专业人士的角度出发讨论一下这些云计算定义之间的空白点。
重新评估目前的云计算定义
虽然我们这里讨论的只是一些宽泛的云计算定义,但是安全专业人士还是应当牢固掌握云计算技术而不仅仅是模糊的概念,这一点是非常重要的。国家标准和技术研究院(NIST)实际上提供了一个有用的云计算定义,具体如下:“云计算是一个模型,这个模型可以方便地按照需求访问一个可配置的公共计算资源池(例如,网络、服务器、存储设备、应用程序以及服务等)。这些资源可以被迅速地提供并发布,同时这个模式也能够实现管理成本或服务提供商干涉的最小化。”NIST还打破了云计算模式的本质特征、服务模式以及部署模式。下表给出了该模式的概观:
一些分析人士和供应商则给出了云计算的一个狭义定义,即云计算是效用计算的一个升级版(基本上就是指互联网中可用的虚拟服务器)。而其他的安全人士则扩展了上述这个狭义定义,他们认为任何在企业防火墙外被使用的资源都是“云计算”,甚至它还包括了常规的外包服务。
这些定义都是有用的,但是我们也在其中发现了若干明显的定义空白点。例如,近年来业务环境最具革命性的变化之一BYOD(使用你自己的设备)就不在我们的讨论范围内。通过实施BYOD策略 ,传统消费者和/或私有网络(如家庭或小型企业)就可扩展至大型企业设置。家庭网络也具有NIST云计算定义中的所有要素,并处于企业防火墙外,但是安全从业人员是否会把家庭网络视为云计算的一部分的呢?
在这种情况下,区分云计算与BYOD和家庭网络的判别依据就是位置、控制范围以及合同义务。这里,NIST所定义的服务模式是通过合同提供的一定程度的义务,而BYOD则主要依靠用户自己的系统运行。例如,如果我的家庭网络遭到了破坏,那么我没有义务需要向我的雇主报告相关破坏情况信息,即便我的设备正在通过VPN连接访问公司的资产。如果我雇主的网络也因此受到损害,我将不会承担破坏或损害通知的责任,同时我的雇主也不会知道是谁访问了我们的家庭计算机网络。
为提供全面的保护,IT安全团队还必须考虑这些扩展的、员工拥有的基础设施——我们称其为消费者即服务(CaaS)基础设施,同样重要的是,将它们默认为不可信任,而且也应在这个默认假设的基础上制定相关企业控制和应对措施。这些CaaS基础设施将需要一个类似于其他混合云计算实施的安全态势。
顾名思义,深网络或暗网络将在这些云计算定义之间出现另一个空白。不适用于现代搜索引擎,这一区域的互联网是安全从业人员的衣食父母,也是受破坏分子影响的祸根。隐蔽渠道的深网络结构和以较小成本按需扩展的加密分布式文件系统都使其变得相当费解。这一威胁即服务(TaaS)的模式可按需从攻击者的家或受害的基础设施处扩展,提供恶意行为能力并以流量克服易受攻击的目标,而无论其所处的地理区域或行业。
出于这一讨论的目的,我们还必须考虑惰性云计算,这也是我们云计算定义中最后的安全空白。考虑它是因为我们对管理它的法律法规基本没有任何影响力,而它又包括了政府、警察和法规等实体。尽管我们对它们的控制力非常有限,企业还是必须遵守(或成功规避)这些惰性实体或直面从互联网被删除的现实。
互联网(如注册商、ISP、电信实体等)是一个以相互包容关系包含子网系统的超集合系统:他们之间是绝对相互依存的关系。因此,我们必须针对整个系统进行考虑以确保端到端的保护。以下是NIST的云计算图表,该图已被更新以反映填满空白的完整云计算系统。
检查云计算活动
正如我们之前的讨论,云计算通常是一个定义模糊的概念,即便是NIST这样一个受人尊敬的大型机构也会出现空白。 但是,根据我们提供的更新定义,安全从业人员应当考虑重新评估他们的IT环境以及之前我们所提及的一些问题。我们希望,我们所提供的新定义可为大多数企业所需的保护提供一个针对企业基础设施的内省和洞察意见。