三步降低影子云安全威胁

尽管影子云威胁着企业安全,我们仍然有方法来降低风险并保护企业的系统和应用。

随着云计算、工作场所的BYOD以及消费电子设备的增加,对于IT部门来说要追踪和管理软件和硬件,并且同时要维护和保证一个环境的安全性变得越发困难。没有IT直接干预或者IT对此毫不知情的那些员工使用的系统和应用被称为影子IT。

云安全联盟的2014云应用实践和优先级调查强调了企业缺乏对影子云应用和服务控制的这一趋势正在增长,并且这其中有很大比例的企业甚至没有一个程序在那里管理这些应用和服务。我们知道这种状况已经有一段时间了,McAfee(Intel Security)在2013年也开展了一个关于企业“影子软件即服务(SaaS)”的调查,发现受访者或者压根没有任何与SaaS应用使用相关的策略,或者根本不知道什么是自己不知道的。

影子云中潜在的威胁

影子云服务和资产可以导致很多问题和风险,包括:

时间、能源和投资的浪费:影子云容易导致传统IT在时间、能源和投资上的浪费。如果员工使用未经批准的技术,浪费的会包括在核准的技术上的培训,不触及影子云的安全技术策略,审计和调查的不够精确或者有效,由于未批准的技术而造成的事件及响应,所需的帮助台和支持,以及绕过技术/安全控制等所有这些所花费的功夫。

低效:一个被影子云严重影响但却经常被忽视的领域是流程开展和执行。对于正在努力开展和提高运营流程成熟度的组织,影子云将成为一个巨大的障碍。影子云可导致审计及审计有效性,库存和配置管理流程和实践,补丁和漏洞管理方案,整体流程效率的举措,如六西格玛,以及IT运营流程效率的低下。

数据丢失或泄漏:影子云容易造成数据的丢失或者泄露。当员工非法使用如Dropbox或其他的云服务来存储敏感数据时,数据正在被存储在组织外,并可能被暴露在一次云提供商的泄漏事件中。存储在云中的任何数据或系统都易于成为对云提供商或其他租户发起的攻击对象。

未知漏洞:当系统和应用在未知的情况下被部署,他们没有在系统或者任何应用程序清单中列出,很有可能没有满足配置和补丁管理的要求。影子云资产和应用还易于成为那些已经发布的但没有被IT人员监控的漏洞的受害者,或者受到那些还没有任何补丁或者修复的零日漏洞的影响。任何这些问题都可能导致潜在的风险提高,并且一个组织可能因为脆弱的影子云系统和应用程序的存在而使整个组织的风险状况变得严重倾斜。

未知攻击目标:与未知的漏洞相似,此类别侧重于缺乏可靠的系统和数据清单。被清单遗漏的系统会很自然的成为攻击的对象,特别是云服务,很容易帮助攻击面扩大到一个很广的范围。

揭开影子云的迷雾

尽管有很多与影子云相关的风险,安全团队可以使用一些策略来处理这些问题。组织可以采取的一些减轻风险的重要步骤包括:

策略和指导:安全策略必须要更精细,一方面受到业务流程的驱使,另一方面因为风险的关系。CISO必须向业务经理解释基于风险的精细安全策略和对云实施的加强。反过来,业务经理在想要使用云服务的时候需要让安全团队了解业务流程应该如何和不应该如何运作。在策略上解决允许和禁止云服务的使用是控制影子云的第一步。

监控和访问限制:监控进入云端的数据和流量对于检测影子云的使用是很重要的。对内网,系统和数据的访问限制也会对识别未知系统和应用有所帮助。一个好的出发点是对互联网进行内容过滤(URL 过滤) 。现在有Skyhigh Networks和Netskope这样的厂商提供的特定云的内容和应用程序过滤,可以很方便的帮助监测和防止影子云的使用。即便一个组织选择不完全限制访问,监控和记录日志可以帮助确定哪些正在被使用。在此基础上可以产生决策以及对风险进行优先级规划。

基础架构控制:象防火墙规则、子网划分、VLAN和ACL这样的基本控制可以很有帮助。强化的系统配置,扫描和打补丁可以有助于在已知的云环境里防止未授权应用的安装。

影子云突显了其他业务需求

要整治影子云的使用可以是一个漫长而艰难的过程,这已经不是什么秘密。通常情况下,影子云标志着政治问题或业务需求差距需要在一个组织里得到解决,而尽可能提供更安全的选择恰恰是信息安全所要做到的。幸运的是,有无数的工具和技术,可以对此提供帮助。

本文分享自微信公众号 - 云计算D1net(D1Net02)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-05-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Ken的杂谈

【系统设置】CentOS 修改机器名

18230
来自专栏前端桃园

知识体系解决迷茫的你

最近在星球里群里都有小伙伴说道自己对未来的路比较迷茫,一旦闲下来就不知道自己改干啥,今天我这篇文章就是让你觉得一天给你 25 个小时你都不够用,觉得睡觉都是浪费...

22240
来自专栏腾讯高校合作

【倒计时7天】2018教育部-腾讯公司产学合作协同育人项目申请即将截止!

15920
来自专栏腾讯社交用户体验设计

ISUX Xcube智能一键生成H5

51420
来自专栏钱塘大数据

中国互联网协会发布:《2018中国互联网发展报告》

在2018中国互联网大会闭幕论坛上,中国互联网协会正式发布《中国互联网发展报告2018》(以下简称《报告》)。《中国互联网发展报告》是由中国互联网协会与中国互联...

13750
来自专栏FSociety

SQL中GROUP BY用法示例

GROUP BY我们可以先从字面上来理解,GROUP表示分组,BY后面写字段名,就表示根据哪个字段进行分组,如果有用Excel比较多的话,GROUP BY比较类...

5.2K20
来自专栏haifeiWu与他朋友们的专栏

复杂业务下向Mysql导入30万条数据代码优化的踩坑记录

从毕业到现在第一次接触到超过30万条数据导入MySQL的场景(有点low),就是在顺丰公司接入我司EMM产品时需要将AD中的员工数据导入MySQL中,因此楼主负...

29940
来自专栏怀英的自我修炼

考研英语-1-导学

英二图表作文要重视。总体而言,英语一会比英语二难点。不过就写作而言,英语二会比英语一有难度,毕竟图表作文并不好写。

12110
来自专栏钱塘大数据

理工男图解零维到十维空间,烧脑已过度,受不了啦!

让我们从一个点开始,和我们几何意义上的点一样,它没有大小、没有维度。它只是被想象出来的、作为标志一个位置的点。它什么也没有,空间、时间通通不存在,这就是零维度。

34330
来自专栏微信公众号:小白课代表

不只是软件,在线也可以免费下载百度文库了。

不管是学生,还是职场员工,下载各种文档几乎是不可避免的,各种XXX.docx,XXX.pptx更是家常便饭,人们最常用的就是百度文库,豆丁文库,道客巴巴这些下载...

44630

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励