IaaS:云安全的下一个篇章

从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增长取决于信任。但是,SaaS在IT安全专业人员确定云服务提供商可以产生与传统软件相当或具备更好的安全性之前采用量一直很低。主要的挑战仍在企业方面,Gartner预测95%的云安全事件是用户的错误。

现在,第二波的云采用浪潮正在迅速蔓延,围绕着基础设施即服务(IaaS)展开。对于IaaS来说,企业需要使用共享责任模型来更新其安全方法。

更新IaaS的共享责任模型

Cloud-first的公司使用SaaS工具实现不同功能:Office 365协作,Workday人力资源和Salesforce用户关系管理。每个组织还拥有规模不等的为员工、用户和合作伙伴服务的应用程序。组织正在消除其数据中心,并将这些专有应用程序大量地迁移到IaaS云产品中,从而使IaaS增长率达到SaaS的两倍。

即便已经对SaaS安全采取主动方法的公司也必须重新评估其在IaaS平台上托管的应用程序的性能。SaaS和IaaS平台在不同的共享责任模式下运行,或者在云服务提供商和用户之间分配安全能力。SaaS提供商所处理的很多安全漏洞都落在IaaS服务上承载的应用程序所属企业用户的肩膀上。

此外,企业快速迁移的压力意味着安全团队可能对IaaS安全几乎没有有效地监控;开发团队没有额外的资源专门应用于更新预定迁移到云端的现有内部应用程序的安全性。专有应用程序没有SaaS应用程序等专用安全解决方案,也没有与安全产品集成的API。虽然过去我们认为创业公司和云服务提供商是处理AWS、Azure或谷歌云平台安全性的公司,但如今财富榜前2000的公司仍然面临着在云端保护应用程序的挑战。

IaaS安全威胁来自组织的内部和外部。黑客攻击企业IaaS账户以窃取数据或计算资源,可以通过窃取凭据,获取错误的访问密钥或利用配置错误的设置来利用此向量。一位研究人员在GitHub上发现了超过10000个AWS凭证。在托管公司代码空间的最坏情况下,被黑客入侵的账户可以用于挖掘比特币。

在企业内部,具有访问IaaS账户的恶意员工可能会通过窃取、更改或删改平台上的数据而造成巨大损失。人为错误和疏忽可能会将公司数据和资源暴露给攻击者。医疗保健公司CareSet发生配置错误,导致黑客利用其谷歌云平台账户对其他目标发起入侵攻击,在几天之后都没有恢复,谷歌暂时关闭了该公司的账户。组织不能错误地假设IaaS环境是安全的,在上述每种情况下,云服务提供商都无力为用户解决这些漏洞。

IaaS安全行动计划

在IaaS平台上的专有应用程序中保持数据安全需求超出SaaS安全性的范畴:保护计算环境本身。在AWS、Azure和谷歌云平台或其他IaaS平台上保护计算环境从配置审核开始,以下是对于确保IaaS使用至关重要的四种类型的配置:

1、身份验证

多重身份验证是任何具有敏感公司信息,尤其是暴露于Internet的云应用程序的必要控制。公司应为root账户和身份以及管理访问用户开启多重身份验证,以降低账户泄露的风险。高度身份验证可能需要用户在提交操作之前输入其他登录步骤。

2、无限制访问

不必要地暴露AWS环境增加了各种攻击方法的威胁,包括拒绝服务、中间人攻击(man-in-the-middle)、SQL注入和数据丢失。检查对Amazon Machine Images的无限制连接、数据库服务实例和弹性计算云可以保护知识产权和敏感数据,以及防止服务中断。

3、非活跃账户

非活跃和未使用的账户对IaaS环境造成不必要的风险,审查并删除不活跃的账户可以防止账户损害和滥用,降低生产力成本。

4、安全监控

将计算迁移到云端的最大的问题是失去可视化和取证。打开AWS的CloudTrail日志记录进行审计跟踪,可以建立一个行为监控工具,用于主动威胁和调查。这也是任何大型公司的基本合规性要求,可以成为将应用程序移动到IaaS的交易中断。

在这4个类别中,安全监控是最复杂且最可靠的。机器学习工具可以被调整以检测指示威胁行为的范围。API可以根据会话位置,或强制登录启用监控。乍一看,将应用程序迁移到云端可能会失去控制。然而使用主动的基于云的安全策略,IaaS上的应用程序可以与其内部对等方一样安全,甚至更安全一些。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2017-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

我的渗透学习之旅

最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议。

2070
来自专栏BestSDK

云服务最重要的“看门狗”——IaaS

从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增...

30210
来自专栏ATYUN订阅号

Paperspace为AI云计算筹集了1300万美元

云计算市场是巨大的,而且它只会增长。根据CenturyLink和Statista联合发布的一份报告,到2020年它的价值将达到411亿美元。

1363
来自专栏SDNLAB

回顾互联网的过去十年(下)

端到端传输是互联网的革命性方面,TCP协议是这一变化的核心。许多其他传输协议要求较低级别的网络协议栈向传输协议提供可靠的流接口。由网络来创建这种可靠性,执行数据...

1315
来自专栏云计算D1net

云迁移对于安全性来说是否过快?

2017年2月,专注于企业级沟通工具的Slack公司发现了一个漏洞,这个漏洞有可能导致Slack公司每天四百万活跃用户的数据泄露。而在当月,专注于安全的内容分发...

34010
来自专栏NComputing

腾创桌面虚拟化终端方案降低校园网整体管理难度

近年来随着高校信息化的建设,校园网已经融入到高校的各个方面,尽管校园网络和各种信息化应用系统为学校的学生、教师和管理人员提供了很多的服务,节省了很多...

1981
来自专栏云计算D1net

解决软件即服务的合规性问题

现如今,企业用户对于SaaS的使用正在迅猛增长,而这一趋势似乎将超过企业购买软件许可证,使用内部部署的形式。而这无疑就为企业的IT经理们带来了两大关于监管合规性...

2995
来自专栏喔家ArchiSelf

IoT之智能照明

大多数照明控制系统仍然基于遗留的连接模型,这些模型是该领域专有的。 与物联网技术的深入整合是下一个主要的颠覆性转变,这将导致真正的智能照明与建筑连接管理的基础设...

1714
来自专栏企鹅号快讯

2017企业安全技术热词有哪些?

元旦将至,2017年企业在构建安全体系时主要考虑哪些问题呢?FreeBuf 带你回顾企业安全应对指南中所调查的 2017 企业年度安全关键词! 在进行问卷调查之...

20810
来自专栏微信小程序开发

你是如何看待小程序分享功能调整?

2014

扫码关注云+社区

领取腾讯云代金券