专栏首页SDNLABIaaS:云安全的下一个篇章

IaaS:云安全的下一个篇章

从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增长取决于信任。但是,SaaS在IT安全专业人员确定云服务提供商可以产生与传统软件相当或具备更好的安全性之前采用量一直很低。主要的挑战仍在企业方面,Gartner预测95%的云安全事件是用户的错误。

现在,第二波的云采用浪潮正在迅速蔓延,围绕着基础设施即服务(IaaS)展开。对于IaaS来说,企业需要使用共享责任模型来更新其安全方法。

更新IaaS的共享责任模型

Cloud-first的公司使用SaaS工具实现不同功能:Office 365协作,Workday人力资源和Salesforce用户关系管理。每个组织还拥有规模不等的为员工、用户和合作伙伴服务的应用程序。组织正在消除其数据中心,并将这些专有应用程序大量地迁移到IaaS云产品中,从而使IaaS增长率达到SaaS的两倍。

即便已经对SaaS安全采取主动方法的公司也必须重新评估其在IaaS平台上托管的应用程序的性能。SaaS和IaaS平台在不同的共享责任模式下运行,或者在云服务提供商和用户之间分配安全能力。SaaS提供商所处理的很多安全漏洞都落在IaaS服务上承载的应用程序所属企业用户的肩膀上。

此外,企业快速迁移的压力意味着安全团队可能对IaaS安全几乎没有有效地监控;开发团队没有额外的资源专门应用于更新预定迁移到云端的现有内部应用程序的安全性。专有应用程序没有SaaS应用程序等专用安全解决方案,也没有与安全产品集成的API。虽然过去我们认为创业公司和云服务提供商是处理AWS、Azure或谷歌云平台安全性的公司,但如今财富榜前2000的公司仍然面临着在云端保护应用程序的挑战。

IaaS安全威胁来自组织的内部和外部。黑客攻击企业IaaS账户以窃取数据或计算资源,可以通过窃取凭据,获取错误的访问密钥或利用配置错误的设置来利用此向量。一位研究人员在GitHub上发现了超过10000个AWS凭证。在托管公司代码空间的最坏情况下,被黑客入侵的账户可以用于挖掘比特币。

在企业内部,具有访问IaaS账户的恶意员工可能会通过窃取、更改或删改平台上的数据而造成巨大损失。人为错误和疏忽可能会将公司数据和资源暴露给攻击者。医疗保健公司CareSet发生配置错误,导致黑客利用其谷歌云平台账户对其他目标发起入侵攻击,在几天之后都没有恢复,谷歌暂时关闭了该公司的账户。组织不能错误地假设IaaS环境是安全的,在上述每种情况下,云服务提供商都无力为用户解决这些漏洞。

IaaS安全行动计划

在IaaS平台上的专有应用程序中保持数据安全需求超出SaaS安全性的范畴:保护计算环境本身。在AWS、Azure和谷歌云平台或其他IaaS平台上保护计算环境从配置审核开始,以下是对于确保IaaS使用至关重要的四种类型的配置:

1、身份验证

多重身份验证是任何具有敏感公司信息,尤其是暴露于Internet的云应用程序的必要控制。公司应为root账户和身份以及管理访问用户开启多重身份验证,以降低账户泄露的风险。高度身份验证可能需要用户在提交操作之前输入其他登录步骤。

2、无限制访问

不必要地暴露AWS环境增加了各种攻击方法的威胁,包括拒绝服务、中间人攻击(man-in-the-middle)、SQL注入和数据丢失。检查对Amazon Machine Images的无限制连接、数据库服务实例和弹性计算云可以保护知识产权和敏感数据,以及防止服务中断。

3、非活跃账户

非活跃和未使用的账户对IaaS环境造成不必要的风险,审查并删除不活跃的账户可以防止账户损害和滥用,降低生产力成本。

4、安全监控

将计算迁移到云端的最大的问题是失去可视化和取证。打开AWS的CloudTrail日志记录进行审计跟踪,可以建立一个行为监控工具,用于主动威胁和调查。这也是任何大型公司的基本合规性要求,可以成为将应用程序移动到IaaS的交易中断。

在这4个类别中,安全监控是最复杂且最可靠的。机器学习工具可以被调整以检测指示威胁行为的范围。API可以根据会话位置,或强制登录启用监控。乍一看,将应用程序迁移到云端可能会失去控制。然而使用主动的基于云的安全策略,IaaS上的应用程序可以与其内部对等方一样安全,甚至更安全一些。

本文分享自微信公众号 - SDNLAB(SDNLAB)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Gartner:到2021年公有云市场将超过3000亿美元,今年增长率为21%

    SDNLAB
  • 基于OpenFlow架构的IaaS云安全

    编者按:云计算技术的服务型基础设施即服务(IaaS),以其可扩展性、高效性及弹性等特点正在成为资源利用的主导方式。在从云计算的IaaS应用获得便捷的同时,安全漏...

    SDNLAB
  • NFV网络的4大安全威胁

    全球范围内,电信运营商和服务提供商都对网络功能虚拟化(NFV)将带来的机遇无比兴奋。尽管这些行业中以软件为中心的技术操作仍处于早期阶段,但很多服务提供商正在积极...

    SDNLAB
  • 云服务最重要的“看门狗”——IaaS

    从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增...

    BestSDK
  • “你”与优秀前端开发人员的区别

    WEB前端开发工程师的缺乏,几乎是全行业的,几乎没有哪个公司会说自己拥有足够的前端开发工程师。就算是第一梯队的BAT也是一样,虽然它们已经拥有绝大多数优秀的前端...

    web前端教室
  • 前端学习,理解并不是最重要的

    诚如标题所言,学习前端开发的过程中,是否理解并不是最重要的。那么,什么是最重要的呢?学习不就是要看懂才算吗?

    web前端教室
  • 世界首条新能源空铁试验线于成都正式投入运行

    Youngxj
  • Python使用扩展库numpy计算矩阵加权平均值

    本文介绍Python扩展库numpy的函数average()的用法。 >>> import numpy as np # 创建二维矩阵 >>> x = np.ma...

    Python小屋屋主
  • CSS8:到底什么是BFC?

    现在有flex布局等新技术,bfc的效果比如包住元素,进行自适应布局等已经不需要了。现在只有免式的事后才需要知道BFC!

    代码之风
  • 前端开发除了js,还要会这些东西,你感觉下自己能不能做到?

    写代码的时候,你爱听歌吗?我以前爱听,后来不爱听了。爱听歌的那段时候,我基本上是在切页面,那个时候做页面就是Html 和 css,写的熟练的很,做起来都不用走脑...

    web前端教室

扫码关注云+社区

领取腾讯云代金券