導讀:隨著全球云采用率的攀升,出現(xiàn)了當前工具無法解決的新IT和安全挑戰(zhàn)。雖然保護已知資產(chǎn)很簡單,但是不可能保護未知的東西,例如影子IT和惡意開發(fā)之類的東西,這兩者在云平臺中都比比皆是。
在大多數(shù)組織的云計算策略中,云計算資產(chǎn)發(fā)現(xiàn)是最容易被忽視和最難被理解的組件之一。這就是原因。
當組織在開始運營自己的數(shù)據(jù)中心時,發(fā)現(xiàn)組織的互聯(lián)網(wǎng)邊緣是一項簡單的工作,而安全性只是掃描靜態(tài)IP地址列表以確保資產(chǎn)安全。如今,大多數(shù)組織已經(jīng)或正在構(gòu)建大量的云足跡。其中一個巨大的推動因素是開發(fā)人員、營銷和其他非IT功能在云中創(chuàng)建(和放棄)資產(chǎn)。其中許多未知的和未經(jīng)授權(quán)的云計算資產(chǎn)都處于短暫的IP空間中,這使得組織更難以全面了解其云計算安全和基礎(chǔ)設(shè)施管理。
隨著全球云采用率的攀升,出現(xiàn)了當前工具無法解決的新IT和安全挑戰(zhàn)。雖然保護已知資產(chǎn)很簡單,但是不可能保護未知的東西,例如影子IT和惡意開發(fā)之類的東西,這兩者在云平臺中都比比皆是。企業(yè)云足跡帶來了獨特的挑戰(zhàn),其中包括:
現(xiàn)有工具無法以當前、可靠和全面的方式發(fā)現(xiàn)授權(quán)和未授權(quán)提供商的云計算資產(chǎn);
未知和未經(jīng)授權(quán)的云資產(chǎn)可以輕松和快速地生成并保持活躍和未被發(fā)現(xiàn);
現(xiàn)有工具在多租戶或短暫環(huán)境中可靠地解決自有資產(chǎn)與其他資產(chǎn)的不足。
在短暫的IP空間中管理和保護資產(chǎn)需要查看當前又準確的資產(chǎn)?,F(xiàn)有的云計算管理工具之所以失敗,因為它們只是因為一次看到托管公司資產(chǎn)的IP地址而將云計算IP地址跟蹤到組織。此信息很快就會變得陳舊,對于保護惡意云計算資產(chǎn)沒有用處或可行。因此,為靜態(tài)網(wǎng)絡(luò)設(shè)計的安全范例在云中不起作用。更糟糕的是,依靠這種無效的方法可能會導致IT和安全從業(yè)人員進行掃描、滲透測試以及浪費時間來調(diào)查甚至不屬于他們的資產(chǎn),并且會同時丟失產(chǎn)生風險的關(guān)鍵未知云資產(chǎn)。
許多云計算管理工具供應(yīng)商認為,他們通過與IaaS管理接口的集成提供全面的資產(chǎn)視圖。Expanse公司網(wǎng)絡(luò)風險高級主管Marshall Kuypers博士警告稱,“從表面上看,這似乎是一個很好的解決方案,但這種策略只涵蓋已經(jīng)被跟蹤的內(nèi)容,這可能提供虛假的安全保障?!?/p>
Kuypers博士指出,這些集成未能識別“未知的未知數(shù)”,這在大型組織中是例行公事,并且是由于政策外營銷、開發(fā)和其他業(yè)務(wù)功能導致的惡意云部署。多租戶加劇了這個問題,因為來自多個公司的資產(chǎn)可以存在于同一個IP上。
Kuypers博士進一步指出,使用Expanses的整個互聯(lián)網(wǎng)云發(fā)現(xiàn)的客戶經(jīng)常發(fā)現(xiàn)他們不知道的基于云計算的互聯(lián)網(wǎng)資產(chǎn)增加了3%到70%。而這些資產(chǎn)通常包含一些在組織的互聯(lián)網(wǎng)邊緣風險最大的錯誤配置。這些發(fā)現(xiàn)通常包括暴露(有時已經(jīng)受到破壞)的數(shù)據(jù)存儲服務(wù),廢棄的開發(fā)環(huán)境,甚至是彈出式電子商務(wù)站點。
“整體互聯(lián)網(wǎng)”方法
如今,組織的云計算資產(chǎn)可以駐留在任何一家提供商中,其中包括住宅/商業(yè)云提供商。要徹底解決問題,組織必須首先采用發(fā)現(xiàn)優(yōu)先的“整體互聯(lián)網(wǎng)”方法來實現(xiàn)云安全。
一旦發(fā)現(xiàn)云資產(chǎn)并暴露出任何有風險的錯誤配置,組織就可以利用市場上的無數(shù)云安全工具,或簡單地利用IaaS控制臺來管理資產(chǎn)權(quán)限和其他配置項。但云計算的資產(chǎn)發(fā)現(xiàn)必須是一個持續(xù)的過程,以保持組織云足跡的清晰準確的圖像。