正如作者之前曾讨论过的,当破坏发生时,许多组织都采取被动响应,而不是采取更为谨慎的主动措施。现在我们将与作者一起为缓和滥用而提供路线图,并介绍发生滥用时应采取的积极措施。
在一个平静的云岛中,奉公守法的岛民会使用移动设备执行以下操作:
以个体或小组身份运行所需的软件即服务 (SaaS) 应用程序。 以团队名义开发平台即服务 (PaaS) 的应用程序。 通过性能指示器的仪表盘检查基础架构即服务 (IaaS) 的健康状况。
在工作时,岛民会写微博、发博客并使用其他社交网络工具,进行以下活动通常都没有问题:
在他们访问的云数据上实现近实时的通信。 远程构建一个公共云开发人员的合作文化。 共享云服务知识和当前云实践。 更加频繁地访问云服务迁移进程。
岛民们都很开心;按照服务水平协议 (SLA) 所保证的,云和社交网络服务始终可用。当性能低于保证可用性水平时,SLA 会指定一个故障转移计划,将故障转移到该岛健康的数据中心中的某个地方。用于测量性能的算法在数值上是稳定的。
但是,并不是每个人都是他们看起来的样子。
伪装成游客的网络罪犯
在阳光明媚的一天的午餐时间,有三个云服务人员走过几个街区到达该岛的主要港口,为悄悄靠近港口的一艘游艇拍照。这艘船上有大约 1,000 名游客,而且这些游客们并没有觉察到一些网络罪犯就隐藏在他们中间。另一个岛上的保安人员在罪犯登船前忘记检查他们的背景。
在该船停靠前的几分钟,云服务人员暂停拍照,开始阅读 2012 年 12 月 13 发布的 InfoWorld,Trend Micro 报告,该报告讨论的是黑客通过社交网络工具利用云服务。根据该报告,黑客通过写博客、发微博或使用 Facebook 将恶意代码从命令和控制中心传送到移动设备。一旦黑客获得数据(他们并不该有的数据),他们会将偷来的数据放在 Google Docs 或 Dropbox 或 Pastebin 甚至 Amazon EC2 中。
那么,命令和控制中心的黑客可能会考虑:
他们收集到了哪些非常重要的数据。 他们将如何恶意更改数据。 他们将如何获得更高的特权。 他们是将数据重新发送回数据源,还是继续前进到目的地。
该船一成功停靠,这些网络罪犯就会立刻登上该岛,并避开三个云服务人员,然后消失在挥舞着旗帜的人群中。到云服务人员回来工作时,他们便开始用移动设备连接社交网络。但云服务人员发现的太迟了,他们无法访问 SaaS 应用程序、连接其他 PaaS 开发人员或检查 IaaS 的健康状况。
云服务突然关闭。云服务人员不断抱怨:
阈值策略不恰当。 迁移到健康数据中心的故障转移计划被排除在 SLA 之外。 用于测量性能的算法在数值上是不稳定的。
岛民模型用户
讨论降低云服务滥用风险的计划之前,我们先来了解模型用户使用哪些移动设备获取所需的 SaaS,用 PaaS 构建 SaaS 应用程序以及检查 IaaS 的健康状况。他们彼此使用哪些社交媒体工具进行通信受限于对允许他们访问 SaaS、PaaS 和 IaaS 资源的控制程度。供应商设置了资源、用户、数据请求和社交媒体的阈值水平。
所有用户均受到公司自带移动设备策略 (BYOD) 的约束,因为每个移动设备都为公司认可的数据和应用程序提供了一个密码或生物安全分区。在相同设备上,该分区与供个人使用的第二分区相分离。所有移动设备由公司的移动设备管理解决方案进行远程控制,包括 IBM® 的 Endpoint Manager for Mobile Devices(与 IBM 的其他 Endpoint Management 产品一起使用)。
按需获取 SaaS
SaaS 移动用户对移动使用的控制最少,而供应商最多。
最终用户移动控制:最终用户的惟一控制是从移动设备的分区上访问 SaaS 应用程序,不管最终用户是个人、是企业(小型或中型),还是政府机构。SaaS 应用程序的示例包括船到达和离开的时间表、客户关系管理、人力资源和电子表格。
在访问 SaaS 应用程序期间,最终用户使用相同移动设备与选定的用户组一起发微博、写博客。如果允许用户从公司保护分区的应用程序中下载数据,那么用户就会放弃远程从安全的 Dropbox 中下载数据的机会,用户以后可以检索这些数据,或者在其他微博或博客中讨论它们。
SaaS 供应商控制:供应商至少应通过限制授权用户的数量来管理访问控制,这些用户如前面用户阈值策略所述,可并发访问应用程序。供应商可以限制使用前面社交媒体阈值策略所述的社交媒体工具的用户的数量。供应商控制运行 SaaS 应用程序所需的操作系统、服务器和网络基础架构。供应商还控制下载到移动设备或使用该设备的社交媒体工具。
用 PaaS 构建 SaaS 应用程序
与 SaaS 用户相比,PaaS 用户可以更多地控制应用程序。
开发人员移动控制:开发人员控制并保护在整个企业生命周期中发现的所有应用程序,而且该生命周期由独立软件供应商、创业公司、大型企业的单位或政府部门来创建并托管。
例如,开发人员构建、部署并运行自定义的船只到达和离开管理应用程序。作为企业生命周期一部分,开发人员使用社交媒体工具、电子表格、文字处理软件、账单、薪资处理 (payroll processing) 和发票系统。
开发人员使用相同设备发微博、写博客或使用 Facebook 来构成知识网络。这些网络可帮助开发人员获取关于开发进程和技术的信息,共享创新实践并及时收到回复。通过提供对开发人员状况的近实时的反馈,作为一个团队的开发人员可更加频繁通过社交媒体帖子发表评论。
PaaS 供应商控制:供应商至少应控制运行 SaaS 应用程序所需的操作系统、服务器和网络基础架构。供应商还控制下载到开发人员移动设备上的社交媒体工具。供应商可以设置用户、资源、数据请求和社交媒体阈值水平。
IaaS 安全策略重点关注如何访问和保护数据以及如何管理虚拟机。
网络专家移动控制:基础架构或网络专家控制操作系统、网络设备和虚拟机上部署的应用程序。基础架构专家可缩放虚拟服务器或存储区域块,并使用社交媒体工具与其他 IaaS 基础架构专家和 IaaS 平台上的 PaaS 开发人员进行交流。
基础架构或网络专家可使用相同设备发微博、写博客,或者使用其他 IaaS 专家或 PaaS 开发人员的 Facebook 来构成知识网络。这些网络有助于专家和开发人员获取关于 IaaS 技术的信息并及时收到回复。
IaaS 供应商控制:供应商至少要控制以虚拟机为基础的传统计算资源基础架构以及访问 IaaS 所需的移动应用程序。供应商可以控制合作环境所使用的社交媒体工具,还可以设置用户、资源、数据请求和社交媒体阈值水平。
云攻击场景
我们来看看几个场景,了解黑客如何使用社交媒体工具滥用 SaaS 用户、PaaS 开发人员和 IaaS 基础架构专家从他们移动设备上访问的云服务。
SaaS 应用程序
最终用户使用公司许可的 BYOD 安全地连接随时可用的 SaaS 会计应用程序。构建一个虚拟组,让小组成员能够同时访问相同 SaaS 应用程序,本地(在相同位置)或远程地(在不同位置)发微博、写博客或使用 Facebook。
用户将敏感信息放在 Facebook 上,使得包括黑客在内的所有人都能看到这些信息。他们第一次注册 Facebook 帐户时,没有更改默认设置。
最终用户所不了解的是,Facebook 能获取人脸识别软件,该软件使得黑客能够使用来自 Facebook 的数据来识别上传到 Facebook 的 SaaS 最终用户。SaaS 最终用户忘记了更改 Facebook 设置。
黑客将偷来的数据放置在拖放区并使其受到感染。他们将恶意代码发送到目标,用这些恶意代码来淹没后台数据库。
SaaS 应用程序突然无法访问。
PaaS 平台
要用 PaaS 平台开发复杂的 SaaS 应用程序,应组织一个大型的 PaaS 开发人员团队。该团队基于小团队突出的技能集,由彼此间存在不同关系的小团队组成。一个团队具有另一个团队在某个领域所没有的熟练技能。
因为 SaaS 应用程序的交付日期很紧,所以团队之间有必要发布关于应用程序开发进展状况的实时微博。开发人员能获得位于不同位置的团队的最新进展报告。
当接近交付日期时,PaaS 会崩溃。大部分开发人员忘记保护他们的微博帐户。保护了帐户的开发人员很少受到黑客攻击。黑客会复制和更改个人信息并将这些信息存储在 Dropbox 中,然后恶意攻击这些开发人员,使其无法对云进行访问控制。