黑客攻击成常态 别让安全拖了上云的后腿
如今,上云与否早已不是选择题。在企业实现数字化转型的过程中,云计算的重要性不言而喻。对于CIO来说,关键任务变成了找到适合的云服务商,并且根据自身业务特性逐步迁移到云端。不过随着业务加速云化,一些企业的安全团队却仍然停留在原有的思维定式,忽视了对新业务部署时的风险控制,这种威胁不仅是在应用层,还有架构层。
今年以来,云应用和基础架构层面的数据泄露事件已经发生多起,而且勒索病毒和其他各类恶意软件的数量也在显著增加。例如,Slack和CloudFlare发现的漏洞影响了数百万用户的私密信息,Verizon更是由于Amazon S3服务器的配置错误,泄露了1400多万美国客户的数据。拿Slack来说,这种移动化办公的方式正在被越来越多的人所接受,团队工作组可以通过应用实例跨组织快速切换,一旦遭受黑客攻击就是大规模的权限丢失。至于Verizon,面临的问题则是失去了对基础设施的控制,可远程设置的服务器上线是方便了,但安全协议却不完善。
LinkedIn曾经做过一项调查:49%的CIO和企业认为,影响他们上云的主要原因是担心数据的丢失和泄漏,59%的人认为,传统的网络安全工具在云端具有局限性。事实上,尽管当前各厂商在设计架构时更重视IaaS层的资源隔离,不过PaaS层和SaaS层仍储存了大量的用户数据。之所以出现这些问题,一方面是上云业务与原有IT架构的安全组件集成度不够,另一方面也是企业客户过于追求成本效益,忽视了安全因素。
为了让安全性追上业务向云迁移的速度,云服务商和企业客户需要从基础实施、托管平台、应用部署方面,围绕政策法规、数据存储、成本管理等流程构建一体化方案。在企业内部,涉及关键项目的所有成员要对云安全技术引起重视,而不是把责任推给单独的安全部门。在企业外部,需要让身份访问、日志管理、事件响应满足云时代的监管标准。
决策与规划方面,企业开发和使用应用程序,以及后续的测试、质保环节都有可能遭到外部攻击,基于物理服务器的IT资源虚拟化共享使得被黑往往是联带的,即使是专用服务器也难以保证绝对的安全性。一般来说,企业CIO要在采购前制定预制规则和应对策略,首先是收集业务需求结合数据的存储及处理,让IT部署适配云框架从而成为员工的操作规范。同时,企业的安全人员也要定期追踪工作中产生的问题,与云服务商配合从底层消除风险。
数据迁移与存储方面,首要关注的应该是数据丢失和灾备,传统的烟囱式架构在处理敏感数据时会有安全缺失,企业在初期选择云服务商时才依据自身业务特性来制定具体的安全防护标准。此外,虽然云服务商通常会提供数据备份,但企业最好还是在本地有自己的保护措施,并且要监控访问数据的ID,加密核心信息。当涉及到多云迁移的时候,各个云服务商可以提供统一的数据管理API,减少出现服务故障导致数据返回的工作量成本。
总体来说,云端数据迁移时先要打包整体的数据源,关注部分数据可能会导致最终处理时失真。其次,数据迁移的对象范围和规模要给出预估,充分利用边缘化的存储。再者,自动化流程往往比人工干预要更有效率。涉及到具体的数据传输加密过程,可以结合客户端/应用加密、链路/网络加密、代理加密三种模式。其中,第一种是让数据先加密再传输,第二种兼顾了硬件和软件加密方案,第三种则是将加密机制整合到了应用程序中。
企业部署云计算不是一蹴而就,初期部署一些轻量化业务上云测试是必要的。除了要选择熟悉的云服务商,还要实时监控数据中心和云端业务的运行情况,并且在出现问题时迅速决定投入哪些资源来抵御攻击。更重要的是,企业要在隐私和安全性之间找到平衡点,运用威胁检测等算法辨别有效或无用的流量数据,只有这样才能真正的用好云。