云迁移面临遗留安全工具挑战

专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法，这需要新的方法。本文讲述了企业该如何在夹缝中生存。

与众多企业一样，Fenwick &West LLP的IT服务是通过内部部署、软件即服务和云基础设施的组合来提供的。这种情况极大地扩大了硅谷律师事务所面对安全挑战的范围，并迫使它采用新技术来填补传统安全工具不再起作用的缺口。

“当我们集成云和内部部署时，我们的安全问题已经变得更大了，”Fenwick &West LLP的CIO Matt Kesner说，他们家公司主要为美国国内高科技企业和生命科学领域公司提供法律服务。

“我们所拥有的所有安全技术与我们内部部署解决方案中的是一模一样的，”他说。“但是，我们也对专门为云开发的安全新技术进行了投资。”

Fenwick &West的应用经验在越来越多遭遇传统安全障碍的企业中是极具代表性的，他们都在将工作负载迁移至云的同时还维护着他们内部IT基础设施的部分。

在2015年10月，SANS研究所发布了一份基于调查的报告《现代企业中动态数据中心与云计算安全状态》，报告宣称绝大多数企业的混合云服务应用只停留在计算表面。受访的430名IT安全专业人士中的大部分人表示，他们的企业安全问题由于增加了私有、公共以及混合云服务而变得更为严峻起来。很多人表示他们的企业正在使用的传统安全控制措施在云中无法正常工作或者根本不工作。正如SANS分析师Dave Shackleford(他曾多次在信息安全杂志上撰文)在报告中所指出的：“在现代动态数据中心和云用中所缺失的关键性安全功能包括可见性、快速攻击识别以及快速精确的自动化控制手段。”

以下是一些安全管理人员和分析师所提供的一些关键要点，可供用户在集成原有安全系统和混合云服务时予以参考。

旧的安全技术并不是消亡，但它们会演变。

原有的安全技术都是为了保护企业内部部署应用程序和数据而设计开发的，它们一般都不适用于云的环境。但这并不意味着它们很快就会过时。一个很好的例子就是防火墙。

无论是由内部部署还是云基础设施提供的IT服务，用户所需要的无非是保护他们的系统免受外部攻击者的攻击并分隔它们。

20多年来，防火墙技术都在传统内部部署数据中心环境中提供了这样一种能力，最初是基于签名的系统，而最近的则是下一代异常检测系统。

我们希望这项技术不仅能够在传统数据中心内发挥重要作用，而且在云计算中也能游刃有余。

“主流防火墙供应商们的防火墙产品出货量并未有所降低，”SANS研究所新兴威胁总监John Pescatore说。

与硬件设施最大的不同之处在于，在云中防火墙功能是通过软件提供的。虽然随着越来越多的企业和应用程序转向使用混合云服务，对于物理设施的需求可能会减弱，但是对于销售虚拟防火墙或者类似防火墙的过滤和阻止功能的供应商需求将有所扩大。

用户可以使用主流云供应商所提供安全措施以取代防火墙的说法就是一个神话：“基础设施永远不会自己来保护用户。用户仍然需要防火墙，但是它们的交付和管理方式都是不同的，”Pescatore说。一般来说，防病毒和反恶意软件工具也是如此，他补充说。

防火墙和虚拟专用网络(V**)是安全措施由于采用云而可能变更交付机制的显著候选技术。其他技术包括入侵检测和预防系统、基于网络的反恶意软件工具和一些数据泄露防护功能。但是，对着这些工具交付功能的需求将保持不变，Pescatore说。

“很难说原有技术已经过时，”IDC安全研究副总裁Pete Lindstrom说。“这只是一个原有工具的进化。”

越来越多的传统安全技术将从单一的企业模式转变为通过云计算发布的高度分布式服务，Lindstrom说。很多安全技术都将进入云，并成为虚拟化层的一部分。

只有所有一切都已迁移至云，用户才可能需要更多而不是更少的安全控制措施。

使用云服务将让企业用户更难以保持企业中正在进行的一切。

“总体而言，我们并没有看到简化的安全措施，”Kesner说。

当用户的全部工作负载都在内部部署中，并且围绕用户应用程序和基础设施布置周边设施时，我们很容易就能看到流出流入企业的所有数据流，并明确谁何时何地如何访问了什么。

当用户的数据和应用程序是部分在内部部署部分在云中时，这个任务变得更加复杂了，因为人们是从PC和移动设施从防火墙后和从外部对它们进行访问的。

“事实上有着我们用户为业务创建的大量数据，而他们将这些数据作为IT组进行访问，我们只是看不到而已，”Kesner说。

传统的安全工具是无法实现这种可见性的。目前，微软企业系统可认证对Fenwich &West托管的所有应用程序的访问。但是，它不会让用户登录到公司的Salesforce数据库或者其基于云的人力资源系统。

这家律师事务所被迫寻找其他的可用技术。

Kesner的策略就是在云中实施单点登陆功能，以此作为一种获得对用户使用企业应用程序和数据做了些什么更多了解的方法。“我们看到简化我们安全架构的唯一方法就是将我们的身份验证架构迁移至云之中。这一举措将支持内部部署和云，从而扩大了我们为最终用户所提供的服务范畴。”

Fenwick &West的CIO正在寻求为公司的云应用使用新的登陆功能，补充其基于云的认证功能，这将从Salesforce开始。这家律师事务所也正在评估几家初创企业所提供的技术，以便应用于针对云应用访问的防火墙和V**功能实施中。“我们看到的一切都是充满了满满的希望，”Kesner说。

与Fenwick &West一样,大多数使用内部部署和混合云服务组合的企业将需要更多(而不是更少)的工具用于安全性管理。根据SANS报告称，企业用户往往更倾向于在数据中心内使用防火墙、入侵防御和检测系统(IPS/IDS)以及服务器与应用程序监控工具，但是此类工具在云计算环境中的使用率是极具减少的。只有约三分之一的IT安全专业人士表示，他们的企业使用了基于云的防火墙。而几乎所有受访者(96%)都表示在内部部署中使用了安全技术。类似地，只有29%的受访者表示他们的企业在云计算环境中使用了IPS/IDS，而仅有28%使用了服务器与应用程序监控工具。相比之下，分别由83%和77%的受访者在内部部署数据中心内使用了这些工具。

据SANS称，由于云相对缺乏安全技术和战略思考，这种情况是有相当大问题的，因为它使企业直接面临着严重的安全风险。

用户所需安全控制措施的类型取决于云模式。

用户现有安全控制措施的有效性和在云环境中的需求在很大程度上取决于用户所使用的云模式，Viewpost的执行副总裁、总法律顾问兼首席安全官Christopher Pierson指出，Viewpost是一家总部位于佛罗里达州Maitland的在线支付和发票服务供应商。“基础设施即服务环境几乎需要传统数据中心中所需要的所有相同控制措施，”他说。“任何有可能对关键数据造成风险的威胁都需要实施安全控制措施。”

在使用平台即服务(PaaS)模式中，了解安全模式是挑战的一部分，Pierson说。

“在PaaS环境中，大多数的安全性问题都成为了SecOps团队审查和访问的对象，而不是由该团队开发和维护，”他说。“由于企业用户实际上只是拥有着数据层和应用程序层，所以类似于IPS/IDS和DDoS(分布式拒绝服务)之类的缓解措施也不是由企业来管理的。”

因为在PaaS模式中内部部署是没有真正主机的，所以对于内部防病毒和反恶意软件功能与技术的需求就更少了。甚至诸如防火墙之类的技术就能够作为云计算服务，或者当所有东西都是从云中交付时就可完全删除此类功能。

“所有企业都在重点关注的无非就是他们所开发的应用程序、安全代码实践以及底层数据加密，”Pierson说。访问、加密以及相关技术(例如用于管理密钥的硬件安全模块)都是企业用户需要应对和管理的主要控制措施。

安全供应商将需要开发出云应用环境下的产品。

SANS称，云应用和特定云服务供应商管理程序缺乏专用选项和虚拟化设施是企业用户所面临的挑战。“诸如防火墙、入侵检测/防御平台之类的基础网络安全技术在公共云中有着明显更低的使用率，”去年十月报告称，其部分原因是供应商缺少对这些技术的支持。

为了做到这一点，SANS的Pescatore说，数据中心安全技术厂商们需要针对云环境开发他们的产品。在短期内，技术供应商们可能会在他们的产品中增加基于云的交付功能，同时维持他们的数据中心产品。随着时间的推移，当越来越多的传统安全应用程序迁往云，供应商们可能也会开始完全地从云交付他们的功能。他指出，对企业来说至关重要的几个安全功能将也会通过这一方式提供并从中受益。

例如，企业用于扫描其应用程序和网络的众多漏洞扫描技术将在云环境中无法正常工作。所以，开发一个能够审查企业云基础设施并提供诸如虚拟机、防火墙配置等信息和访问控制列表的虚拟扫描器将可能产生巨大差异。

类似地，拥有一个可用于亚马逊网络服务、微软Azure和其他云环境的网络安全网关将为企业用户提供一个针对云托管应用程序和数据进行流量过滤和执行安全策略的方法。

另一个能够从云应用中获益的领域就是取证，Pescatore补充道。数据中心取证工具在查找存储在属于第三方服务供应商的硬盘驱动器上的数据方面是几乎无能为力的。需要拥有在云环境中进行事件审查和数据查找能力的企业必须拥有具有相关功能的工具。