17个混合云安全威胁及解决方案

反对者经常将混合IT云视为一种混乱的架构。但这并非混合IT云的问题,问题出在较差的网络执行、安全协议和管理上。无缝混合云的最大障碍是合规性不足、缺乏加密、风险评估不足、糟糕的数据冗余、数据泄露和其他威胁。

管理人员没有准备好。他们没有遵循适当的参与规则,在面对移动设备管理(MDM)和企业移动性管理(EMM)的不断演进时尤其如此。

管理者需要知道绊脚石。混合云是一个经济高效的解决方案,可以通过公有云无限的可扩展性,实现组织内部资产的最大化。

以下是17个您应该避免的混合云安全威胁,以及解决这些威胁的方法:

1.缺乏加密

网络传输很容易被窃听,以及遭受通过冒充端点来规避相互认证,进而实现的中间人(MitM)攻击。移动性企业管理者必须对通信和数据进行加密,以防止安全侵入。

解决方案:

  • 使用带有端点认证的加密协议,以此防御随机攻击带来的流量。
  • 使用可靠的VPN。
  • 使用可靠的代理服务器
  • 使用SSL/TLS对所有传输进行加密,以此管理服务器认证并防止数据被窃取
  • 使用安全Shell(SSH)网络隧道协议来通过网络发送未加密的信息。

2.安全风险评估不足

解决方案:不对IT基础架构和系统执行详细的风险配置,会妨碍网络管理员确定入侵的发生方式、发生位置与发生时间。这使得未来的违规行为几乎无法被预防。

  • 必须始终严格执行风险预防和评估。
  • IDS/IPS系统应始终扫描全部恶意流量。
  • 日志监视必须激活并且将软件更新至当前最新版本。
  • 解决网络结构安全的最佳方法是一种整体化的方案,即通过使用可靠的SIEM系统来实现。通过这种方式,所有的企业安全数据都可以被查看并轻松地追踪。

3.不合规

在进行合规性检查时,混合云需要更多的尽职调查。无论是公有云提供商,或是您的私有云都必须符合合规性参数。由于数据版本前后滚动,因此在混合性模型中维护和证明合规性更为困难。

解决方案:

  • 两种云必须协调。您必须确保您的共有云提供商和私有云各自满足合规要求,同时还需要证明这两个云在协同工作时的合规性。
  • 处理敏感数据时,这两种云必须符合数据安全的行业标准。

4.安全管理薄弱

太多的企业管理者在胡乱的运行他们的私有云和公有云,因为他们没有采用身份认证、身份管理和授权程序。云安全协议必须被集成。

解决方案:

  • 复制两种云的控制组件。
  • 同步安全数据,或使用与您在云中使用的系统相配套的身份管理服务。
  • 维护一个内部数据存储,以储存不适合在公有云上存储的敏感数据。

5.缺乏数据冗余

数据保存时缺乏冗余会导致混合IT云和您的企业面临风险。如果您没有在所有的数据中心适当的发布冗余的数据副本的话,情况尤其如此。以这种方式发布数据,可以减轻一个数据中心发生故障时的损害。

解决方案:

可以通过三种方式实施数据冗余备份:

  • 通过使用同一个云提供商的多个数据中心
  • 使用多个公有云提供商
  • 使用一个混合云

6.验证和识别失败

将公有云和私有云集成在混合环境中时,安全管理至关重要。网络安全必须在云提供商和企业员工之间共同分享。

解决方案:

  • 勤奋。
  • 监视并验证所有访问权限。
  • 通过使用IP多媒体核心网络子系统(IMS)来同步数据安全。

7.不受保护的API

在不受保护时,API端点会将敏感数据暴露给恶意攻击,这种恶意攻击会利用身份验证/授权令牌或密钥来操纵个人信息和数据。这个漏洞在企业移动性管理和通过不安全连接的BYOD传输中尤其令人担忧。

解决方案:

  • 必须按照与加密和代码签名密钥相同的方式来处理API密钥。
  • 第三方开发者必须确保安全地处理密钥。
  • 在发布API密钥之前总是进行第三方验证,以避免安全隐患。

8.拒绝服务(DoS)攻击

攻击者通过发动DoS攻击使得云或移动企业无法访问。由于共享资源(例如CPU、内存、磁盘空间或网络带宽)固有的弱点,从而使得网络服务在虚拟环境中受到干扰。

解决方案:

对云管理API的DoS攻击通常是藉由发送来自企业的错误SOAP(或REST)请求导致的。

  • 流量分析可以通过对侵入行为做出反应,并将攻击流量重定向到缓解设备来抵御DoS攻击。
  • 永远记住,流量分析工具必须能够根据其收集和分析的流量总量进行扩展。因为这是一种较慢的方法,所以在抵御大容量攻击(譬如DDoS攻击)方面效果不佳。

9.分布式拒绝服务(DDoS)攻击

这种大容量攻击或应用层攻击比DoS更为普遍,也更为阴险。因为这些大量的恶意入侵,是从多个来源发出,最终作用于中央位置的。在攻击被发现的时候,网络流量经常已经处于拥塞中,网站也已经无法渲染了。

解决方案:

抵御DDoS攻击需要在访问路径内部署强大的DDoS缓解设备,不断处理所有传入和传出的流量。当发生多向攻击时,这些设备必须能够立即作用,实现带宽缩放并执行。

10.知识产权保护不力

知识产权(IP)需要额外的保护。它必须具有最高的加密和安全协议。必须对IP进行识别和分类,以确定潜在的安全风险。同时还需要进行漏洞评估和适当的加密。

解决方案:

  • 在对知识产权进行分类和量化风险时,完全自动化的系统是不够的。这些任务必须手动完成。只有在数据被分类后,与IP相关的风险才能被识别。
  • 了解威胁的来源。开发一个详细的威胁模型并遵循它。
  • 创建一个许可矩阵。
  • 加强所有开源组件的防护,以防止入侵。
  • 进行广泛的第三方审计。
  • 确保你的网络基础设施是安全的。

11.缺乏数据所有权

处理数据时,云提供商必须经过充分的安全控制审查。一旦云部署,企业就失去了控制自己数据集的能力。企业管理者必须知道云服务中有哪些安全级别可用,以防止出现意外。

解决方案:

  • 数据的所有权和安全性必须经过验证。避免无法提供合理的所有权预期的供应商。
  • 以构建完备的形式,从供应商那里获得涵盖混合IT企业的服务级别协议(SLA)的所有内容。确切地知道谁有权访问数据,提供者会用访问日志/统计信息做什么,以及所有存储的数据的管辖权/地理位置。

12.未能与云提供商通信

除非得到书面的评估,并且提供在车上执行操作的细节,否则不可能修好一辆车。服务水平协议(SLA)也是如此。他们说明了期望和责任。

解决方案:

  • 在涉及到安全性时,客户必须让云提供商确切地知道,自己有哪些安全要求。这能够消除了意外和灾难。CSA安全、信任和保障注册处详细介绍了每个云提供商在市场上提供的安全控制情况。请将它作为参考。
  • 询问细化的问题。有必要时,譬如服务提供商不能详细解答它们如何定义和保护多租户边界,或是如何确保FISMA、PCI合规性和审计时,找其他人来回答问题。

13.定义不理想的SLA

当转向云端时,客户确实丧失了管理自己数据集的能力,并且在公共部分被迫依靠服务提供商来妥善保护数据。

解决方案:

  • 服务级别协议(SLA)中必须明确访问权限和保护措施,并明确规定安全措施。这同样适用于对云服务提供商的期望和要求。
  • 合理的服务期望必须在服务水平协议中明确的、详细的加以说明,以便在服务中断或数据受到损害时客户有追索权。
  • 在签署任何协议之前,请由律师审查。

14.数据泄露

云提供商不完善的安全协议可能导致数据部分受损、永久破坏或被不正确的访问。在工作驱动的BYOD环境中尤其如此。

解决方案:

  • 除非是书面形式,否则绝不要假设云提供者弥补了数据泄漏。预防数据丢失是关键。覆盖所有的数据基础,并且阅读细则。
  • 由于企业客户拥有客户数据,安全是客户的责任。
  • 安全措施必须能够抵制基础设施的故障、安全漏洞和软件错误。

15.定义不清的管理策略

只有当每个人都知道需要做什么时,才能实现无缝混合云的管理。工作必须严格按照管理政策和程序来定义。如果没有这些指导方针,网络就会受到危害。必须采取综合的方案来处理整个基础设施。

解决办法:

  • 在多个域上计算、联网和存储资源时,管理工具和策略必须是一致的。确保模板到位是混合云管理员的工作。
  • 云管理策略应该定义:有关配置和安装的规则;敏感数据/受限应用程序的访问控制;预算管理和报告。
  • 确切地知道将使用什么跨平台工具来管理混合云。
  • 严格定义访问控制、用户管理和加密以获得最佳安全性。
  • 准备访问控制策略,这些策略将定义何种敏感数据或受限应用程序可以在公共云和私有云中访问。
  • 在资源配置中使用配置管理工具,以减少错误配置错误,并自动生成映像。

16.结构恶劣的跨平台工具。

您知道如何跨多个域管理任务吗?混合云并不像往常一样。许多管理员在不能完成多任务时都会陷入混乱。在混合环境中不当的定义或执行跨平台管理,是必须避免的主要缺陷。

解决方案:

在定义一个专门的工具或一套工具是否足以管理您的企业时,什么才是完成这项工作所必需的?你需要确定以下这些你是否需要:

  • 云应用程序迁移工具,用于在私有公有云之间提供互操作性,以及在二者之间移动应用程序。
  • 一定要有适合虚拟化环境的云监视工具。
  • 云自动化工具,用于在动态云配置和虚拟机移动时保证可访问以及安全性。

17.心怀不满或恶意的雇员。

有时最恶意的攻击可能就在我们眼皮底下。并非所有员工和内部人士都值得信赖。一些内部人士可能利用客户或敏感数据来扰乱企业活动。

解决方案:

  • 您的内容安全策略(CSP)管理员,必须具有能够跟踪员工网络活动的全面安全措施,以避免此类恶意后果。
  • 创建一个具有明确战略的内部威胁计划。
  • 永远不要相信,永远要验证。停止所有未经授权的访问尝试。
  • 部署强大的密码安全策略。
  • 限制对组织关键资产的访问。
  • 开发即时响应协议,以检测和应对任何可疑或恶意网络活动。这应该包括立即注销、远程锁定或会话重置。

您是否已部署或正在考虑为您的企业部署混合/IT云?混合云计算整合利用了公有云和私有云最好的部分,带来了丰富的好处。它能以低成本、低进入门槛的方式积极扩展企业的商业潜力,帮助企业以无限的可伸缩性最大化内部资产。不要害怕部署它。

了解如何为您的企业成功部署无威胁的混合云。

本文的版权归 电工昌威 所有,如需转载请联系作者。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华仔的技术笔记

App store审核标准

4747
来自专栏程序员互动联盟

搞linux开发的能拿多少钱?

古人有个很恰当的比喻,无襄阳荆州不足以用武,无汉中则巴蜀不足以存险,无关中河南不能以豫居,形势使然也。操作系统亦是如此:无Linux,操作系统不能以服务器自居。...

4308
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–销售订单处理:自库存销售(109)-2销售订单

销售订单的信用管理检查 信用管理 (108) 在此过程中,已为使用的客户设置了信用限额。 完成该业务情景的业务流程文档 中描述的所有活动:信用管理 (108)。...

4229
来自专栏FreeBuf

浅析大规模生产网络的纵深防御架构

纵深防御这个在安全行业被用的很烂的词,乙方的顾问写方案时信手捏来,我想大家的理解可能并不一致。其实我比较赞同lake2用的“河防”以及数字公司用的“塔防”的概念...

3685
来自专栏云计算D1net

Win8.1免费升级?Win9或因安全移除云服务

一个月之前,中央国家机关政府采购中心宣布中央机关不得采购安装Windows 8的电脑。虽然政府部门未作出详细解释,但据各大互联网安全大佬猜测,信息安全性是这其中...

3478
来自专栏我的安全视界观

【企业安全】甲方眼里的安全测试

纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。早就想着能总结...

2023
来自专栏数据和云

YH5:Extended RAC 双活解决方案

题记:对于企业关键业务而言,信息系统可靠性是关键。各行业关键 IT系统因为系统故障导致服务中断的事件仍然时有发生,近年来有一些银行 IT 系统,虽然建有两地三中...

4914
来自专栏黑白安全

贴吧利用仅有的信息找到对方信息

楔子: 这次的教程很简单,我是想把这个简单的教程告诫大家,作为一位网民一定要保护好自己的个人信息,周围有许许多多的网民都无所谓自己的个人隐私,殊不知已被藏在黑暗...

1215
来自专栏FreeBuf

小心!黑客组织KovCoreG正在利用虚假的浏览器和Flash更新来传播恶意软件

近期,安全研究人员发现了一个名叫KovCoreG的黑客组织正在利用伪造的浏览器及Flash更新来欺骗用户安装Kovter恶意软件。 ? 研究人员表示,攻击者使用...

2345
来自专栏小白课代表

看书必备!安卓+iOS 看小说神器!!

8343

扫码关注云+社区

领取腾讯云代金券