以前���,我們曾確定了六種不同的云模型����,并且基于具體的企業(yè)需求�����,確定了五種不同的企業(yè)部署模型�。企業(yè)可能直接管控具體的云模型,采用一種直接的方式進行安全控制����,但是當缺失這個層級的控制時,端到端的層模式保護需要減少惡意以及偶然的威脅����。
端到端的云保護本質(zhì)上并非線性的,相反是一種球形的�����,由于彈性全球化業(yè)務模式����、破壞性的計算技術以及動態(tài)威脅,控制片段會出現(xiàn)重疊�����。不論哪種可能發(fā)生的入侵載體���,分層保護理論上可以停止攻擊或者�����,至少能夠?qū)ζ髽I(yè)的安全團隊做出事件警告�。隨著云不斷延伸到企業(yè)網(wǎng)絡邊界����,這些都成為迫切的需求,但實際上在傳統(tǒng)形式中不用存在���。
對于一個要實現(xiàn)云中端到端的安全的企業(yè)而言�,雖然其必須首先重視訪問范圍�、控制范圍以及針對云環(huán)境的安全控制方式能且必須適用那些轉(zhuǎn)換范圍����。
定義控制范圍
應用端到端的安全控制的能力首先依賴于企業(yè)能夠理解訪問范圍�,這意味著理解連接企業(yè)資產(chǎn)的設備類型,以及他們所利用的連接類型����。
例如,大多數(shù)企業(yè)為其員工購買筆記本電腦�����,但是這樣的設備的移動性意味著他們并不總是面臨著相同的威脅情況�����。當員工將其筆記本電腦帶回家����,并且通過消費者級別的網(wǎng)絡或者厄運服務進行連接,他們在企業(yè)網(wǎng)絡云環(huán)境中運行的用例將會發(fā)生改變���。這種用例在員工出差時再一次發(fā)生變更����,因為他們會用酒店和機場以及會議中心的WiFi熱點連接企業(yè)網(wǎng)絡。
隨著BYOD運動不斷發(fā)展�,企業(yè)也期望員工通過智能手機和平板電腦遠程進行連接,至少可以查看公司電子郵件�����,盡管通過類似Salesforce.com這樣的基于云的應用的風險�����,通常意味著員工在移動設備上進行更為復雜的任務�����,涉及很多類型的數(shù)據(jù)�����。這也代表了另一種用例����,同樣地這種設備也會被認為不受管理�。通過移動勞動力,企業(yè)應該安全運作���,并期望每一個用戶至少有四種不同的用例:辦公室�、家庭、旅行和個人移動設備�����。
端到端保護圖示
隨著與員工在不同的網(wǎng)絡和云之間移動�,其訪問范圍顯然會發(fā)生變化。企業(yè)的控制范圍也發(fā)生了變化����,意味著企業(yè)必須調(diào)整安全控制,從而能夠處理這些不同的控制范圍�。
比如,基于用戶的角色訪問具體的數(shù)據(jù)類型可能在其通過外部網(wǎng)絡時受到限制�。IT人員通常可以24/7/365訪問企業(yè)放了�,然而臨時員工相比之下則只有在授權的情況下才可以訪問企業(yè)服務。
風險偏向也可能會影響訪問層級���,比如員工需要服從某種具體的法律法規(guī)內(nèi)容�����。一些企業(yè)決定最好是為訪問HIPAA保護的信息提供沙盒虛擬桌面����。在這樣的領域典型的配置包括消除用戶行政權,利用預定義的應用�,并嚴格通過企業(yè)的防火墻和內(nèi)容保護技術訪問互聯(lián)網(wǎng)。
盡管一旦用戶轉(zhuǎn)移到不可信網(wǎng)絡上����,最終企業(yè)在可信網(wǎng)絡上的有效控制不再適用�。比如,如果企業(yè)的防火墻不能管理這個連接���,很可能反病毒服務器升級定義文件也不可訪問�����,就需要技術進行修補�����。
云安全控制
新的云安全控制的開發(fā)需要一種系統(tǒng)的方法�?���?刂圃O計的簡單方法就是遠近效應����?��;旧?��,安全控制在用戶在可信網(wǎng)絡上時需要遠離,而在其處于不可信網(wǎng)絡上時要緊貼用戶����。因此,當用戶在非可信云環(huán)境中操作時�����,企業(yè)應該考慮大量的近距離安全控制�����,以便阻止惡意攻擊�,包括全磁盤加密、健壯密碼強制執(zhí)行����、本地反病毒以及本地防火墻���。
企業(yè)進行云安全控制需要落實到位,并非一直如此直接����,然而由于控制范圍發(fā)生改變,企業(yè)必須為類似的轉(zhuǎn)移做準備���?��?刂圃谄髽I(yè)云上減少威脅的最好例子就是內(nèi)容過濾技術�,本質(zhì)上限制了用戶可能訪問的網(wǎng)站類型,因此減少了受Web服務器牽連的客戶端攻擊的數(shù)量�。然而,如果用戶轉(zhuǎn)到非可信云中�,比如酒店或者甚至是家庭網(wǎng)絡,他們可能在上網(wǎng)時有一個更好的自由度����,繞過企業(yè)在云端設立的內(nèi)容過濾技術,增加了客戶端攻擊的風險�。
不受重視的用例就是一個值得信任的客戶,如果這個客戶連接到企業(yè)云上,會對以前的可信環(huán)境帶入一種完全不同的威脅因素�����。沒有合適的遠離控制�,企業(yè)可能無法檢測到可信客戶充滿惡意的行為,潛在地導致問題�����,減少客戶的信心�����。
每一種場景都需要控制
不管企業(yè)是否提供云服務或者從云提供商處購買服務���,需要理解端到端的云安全控制�����,這種控制要求減少各種可能的威脅�����。安全團隊必須意識到云安全控制必須在用戶的訪問范圍發(fā)生改變時做出改變�����。這也意味著技術必須在可信和非可信云之間合適的位置設置規(guī)則����,方便通過不同的設備和網(wǎng)絡訪問。沒有這樣的控制�����,復雜且專業(yè)的攻擊者不可避免地會找到攻擊企業(yè)云基礎架構(gòu)的方法�。
來源:CIO時代網(wǎng)
版權及免責聲明:凡本網(wǎng)所屬版權作品,轉(zhuǎn)載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關法律責任的權力���。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場���。版權事宜請聯(lián)系:010-65363056���。
延伸閱讀
