經常將混合IT雲視為一種混亂的架構。但這並非混合IT雲的問題,問題出在較差的網路執行、安全協議和管理上。無縫混合雲的最大障礙是合規性不足、缺乏加密、風險評估不足、糟糕的資料冗餘、資料洩露和其他威脅。
管理人員沒有準備好。他們沒有遵循適當的參與規則,在面對移動裝置管理(MDM)和企業移動性管理(EMM)的不斷演進時尤其如此。
管理者需要知道絆腳石。混合雲是一個經濟高效的解決方案,可以透過公有云無限的可擴充套件性,實現組織內部資產的最大化。
以下是17個您應該避免的混合雲安全威脅,以及解決這些威脅的方法:
1。缺乏加密
網路傳輸很容易被竊聽,以及遭受透過冒充端點來規避相互認證,進而實現的中間人(MitM)攻擊。移動性企業管理者必須對通訊和資料進行加密,以防止安全侵入。
解決方案:
使用帶有端點認證的加密協議,以此防禦隨機攻擊帶來的流量。
使用可靠的V**。
使用可靠的代理伺服器
使用SSL/TLS對所有傳輸進行加密,以此管理伺服器認證並防止資料被竊取
使用安全Shell(SSH)網路隧道協議來透過網路傳送未加密的資訊。
2。安全風險評估不足
解決方案:不對IT基礎架構和系統執行詳細的風險配置,會妨礙網路管理員確定入侵的發生方式、發生位置與發生時間。這使得未來的違規行為幾乎無法被預防。
必須始終嚴格執行風險預防和評估。
IDS/IPS系統應始終掃描全部惡意流量。
日誌監視必須啟用並且將軟體更新至當前最新版本。
解決網路結構安全的最佳方法是一種整體化的方案,即透過使用可靠的SIEM系統來實現。透過這種方式,所有的企業安全資料都可以被檢視並輕鬆地追蹤。
3。不合規
在進行合規性檢查時,混合雲需要更多的盡職調查。無論是公有云提供商,或是您的私有云都必須符合合規性引數。由於資料版本前後滾動,因此在混合性模型中維護和證明合規性更為困難。
兩種雲必須協調。您必須確保您的共有云提供商和私有云各自滿足合規要求,同時還需要證明這兩個雲在協同工作時的合規性。
處理敏感資料時,這兩種雲必須符合資料安全的行業標準。
4。安全管理薄弱
太多的企業管理者在胡亂的執行他們的私有云和公有云,因為他們沒有采用身份認證、身份管理和授權程式。雲安全協議必須被整合。
複製兩種雲的控制組件。
同步安全資料,或使用與您在雲中使用的系統相配套的身份管理服務。
維護一個內部資料儲存,以儲存不適合在公有云上儲存的敏感資料。
5。缺乏資料冗餘
資料儲存時缺乏冗餘會導致混合IT雲和您的企業面臨風險。如果您沒有在所有的資料中心適當的釋出冗餘的資料副本的話,情況尤其如此。以這種方式釋出資料,可以減輕一個數據中心發生故障時的損害。
可以透過三種方式實施資料冗餘備份:
透過使用同一個雲提供商的多個數據中心
使用多個公有云提供商
使用一個混合雲
6。驗證和識別失敗
將公有云和私有云整合在混合環境中時,安全管理至關重要。網路安全必須在雲提供商和企業員工之間共同分享。
勤奮。
監視並驗證所有訪問許可權。
透過使用IP多媒體核心網路子系統(IMS)來同步資料安全。
7。不受保護的API
在不受保護時,API端點會將敏感資料暴露給惡意攻擊,這種惡意攻擊會利用身份驗證/授權令牌或金鑰來操縱個人資訊和資料。這個漏洞在企業移動性管理和透過不安全連線的BYOD傳輸中尤其令人擔憂。
必須按照與加密和程式碼簽名金鑰相同的方式來處理API金鑰。
第三方開發者必須確保安全地處理金鑰。
在釋出API金鑰之前總是進行第三方驗證,以避免安全隱患。
8。拒絕服務(DoS)攻擊
攻擊者透過發動DoS攻擊使得雲或移動企業無法訪問。由於共享資源(例如CPU、記憶體、磁碟空間或網路頻寬)固有的弱點,從而使得網路服務在虛擬環境中受到干擾。
對雲管理API的DoS攻擊通常是藉由傳送來自企業的錯誤SOAP(或REST)請求導致的。
流量分析可以透過對侵入行為做出反應,並將攻擊流量重定向到緩解裝置來抵禦DoS攻擊。
永遠記住,流量分析工具必須能夠根據其收集和分析的流量總量進行擴充套件。因為這是一種較慢的方法,所以在抵禦大容量攻擊(譬如DDoS攻擊)方面效果不佳。
9。分散式拒絕服務(DDoS)攻擊
這種大容量攻擊或應用層攻擊比DoS更為普遍,也更為陰險。因為這些大量的惡意入侵,是從多個來源發出,最終作用於中央位置的。在攻擊被發現的時候,網路流量經常已經處於擁塞中,網站也已經無法渲染了。
抵禦DDoS攻擊需要在訪問路徑內部署強大的DDoS緩解裝置,不斷處理所有傳入和傳出的流量。當發生多向攻擊時,這些裝置必須能夠立即作用,實現頻寬縮放並執行。
10。智慧財產權保護不力
智慧財產權(IP)需要額外的保護。它必須具有最高的加密和安全協議。必須對IP進行識別和分類,以確定潛在的安全風險。同時還需要進行漏洞評估和適當的加密。
在對智慧財產權進行分類和量化風險時,完全自動化的系統是不夠的。這些任務必須手動完成。只有在資料被分類後,與IP相關的風險才能被識別。
瞭解威脅的來源。開發一個詳細的威脅模型並遵循它。
建立一個許可矩陣。
加強所有開源元件的防護,以防止入侵。
進行廣泛的第三方審計。
確保你的網路基礎設施是安全的。
11。缺乏資料所有權
處理資料時,雲提供商必須經過充分的安全控制審查。一旦雲部署,企業就失去了控制自己資料集的能力。企業管理者必須知道雲服務中有哪些安全級別可用,以防止出現意外。
資料的所有權和安全性必須經過驗證。避免無法提供合理的所有權預期的供應商。
以構建完備的形式,從供應商那裡獲得涵蓋混合IT企業的服務級別協議(SLA)的所有內容。確切地知道誰有權訪問資料,提供者會用訪問日誌/統計資訊做什麼,以及所有儲存的資料的管轄權/地理位置。
12。未能與雲提供商通訊
除非得到書面的評估,並且提供在車上執行操作的細節,否則不可能修好一輛車。服務水平協議(SLA)也是如此。他們說明了期望和責任。
在涉及到安全性時,客戶必須讓雲提供商確切地知道,自己有哪些安全要求。這能夠消除了意外和災難。CSA安全、信任和保障註冊處詳細介紹了每個雲提供商在市場上提供的安全控制情況。請將它作為參考。
詢問細化的問題。有必要時,譬如服務提供商不能詳細解答它們如何定義和保護多租戶邊界,或是如何確保FISMA、PCI合規性和審計時,找其他人來回答問題。
13。定義不理想的SLA
當轉向雲端時,客戶確實喪失了管理自己資料集的能力,並且在公共部分被迫依靠服務提供商來妥善保護資料。
服務級別協議(SLA)中必須明確訪問許可權和保護措施,並明確規定安全措施。這同樣適用於對雲服務提供商的期望和要求。
合理的服務期望必須在服務水平協議中明確的、詳細的加以說明,以便在服務中斷或資料受到損害時客戶有追索權。
在簽署任何協議之前,請由律師審查。
14。資料洩露
雲提供商不完善的安全協議可能導致資料部分受損、永久破壞或被不正確的訪問。在工作驅動的BYOD環境中尤其如此。
除非是書面形式,否則絕不要假設雲提供者彌補了資料洩漏。預防資料丟失是關鍵。覆蓋所有的資料基礎,並且閱讀細則。
由於企業客戶擁有客戶資料,安全是客戶的責任。
安全措施必須能夠抵制基礎設施的故障、安全漏洞和軟體錯誤。
15。定義不清的管理策略
只有當每個人都知道需要做什麼時,才能實現無縫混合雲的管理。工作必須嚴格按照管理政策和程式來定義。如果沒有這些指導方針,網路就會受到危害。必須採取綜合的方案來處理整個基礎設施。
解決辦法:
在多個域上計算、聯網和儲存資源時,管理工具和策略必須是一致的。確保模板到位是混合雲管理員的工作。
雲管理策略應該定義:有關配置和安裝的規則;敏感資料/受限應用程式的訪問控制;預算管理和報告。
確切地知道將使用什麼跨平臺工具來管理混合雲。
嚴格定義訪問控制、使用者管理和加密以獲得最佳安全性。
準備訪問控制策略,這些策略將定義何種敏感資料或受限應用程式可以在公共雲和私有云中訪問。
在資源配置中使用配置管理工具,以減少錯誤配置錯誤,並自動生成映像。
16。結構惡劣的跨平臺工具。
您知道如何跨多個域管理任務嗎?混合雲並不像往常一樣。許多管理員在不能完成多工時都會陷入混亂。在混合環境中不當的定義或執行跨平臺管理,是必須避免的主要缺陷。
在定義一個專門的工具或一套工具是否足以管理您的企業時,什麼才是完成這項工作所必需的?你需要確定以下這些你是否需要:
雲應用程式遷移工具,用於在私有公有云之間提供互操作性,以及在二者之間移動應用程式。
一定要有適合虛擬化環境的雲監視工具。
雲自動化工具,用於在動態雲配置和虛擬機器移動時保證可訪問以及安全性。
17。心懷不滿或惡意的僱員。
有時最惡意的攻擊可能就在我們眼皮底下。並非所有員工和內部人士都值得信賴。一些內部人士可能利用客戶或敏感資料來擾亂企業活動。
您的內容安全策略(CSP)管理員,必須具有能夠跟蹤員工網路活動的全面安全措施,以避免此類惡意後果。
建立一個具有明確戰略的內部威脅計劃。
部署強大的密碼安全策略。
限制對組織關鍵資產的訪問。
開發即時響應協議,以檢測和應對任何可疑或惡意網路活動。這應該包括立即登出、遠端鎖定或會話重置。
您是否已部署或正在考慮為您的企業部署混合/IT雲?混合雲計算整合利用了公有云和私有云最好的部分,帶來了豐富的好處。它能以低成本、低進入門檻的方式積極擴充套件企業的商業潛力,幫助企業以無限的可伸縮性最大化內部資產。不要害怕部署它。