技術(shù)
導(dǎo)讀:隨著全球云采用率的攀升,出現(xiàn)了當(dāng)前工具無(wú)法解決的新IT和安全挑戰(zhàn)。雖然保護(hù)已知資產(chǎn)很簡(jiǎn)單,但是不可能保護(hù)未知的東西,例如影子IT和惡意開(kāi)發(fā)之類的東西,這兩者在云平臺(tái)中都比比皆是。
在大多數(shù)組織的云計(jì)算策略中,云計(jì)算資產(chǎn)發(fā)現(xiàn)是最容易被忽視和最難被理解的組件之一。這就是原因。
當(dāng)組織在開(kāi)始運(yùn)營(yíng)自己的數(shù)據(jù)中心時(shí),發(fā)現(xiàn)組織的互聯(lián)網(wǎng)邊緣是一項(xiàng)簡(jiǎn)單的工作,而安全性只是掃描靜態(tài)IP地址列表以確保資產(chǎn)安全。如今,大多數(shù)組織已經(jīng)或正在構(gòu)建大量的云足跡。其中一個(gè)巨大的推動(dòng)因素是開(kāi)發(fā)人員、營(yíng)銷和其他非IT功能在云中創(chuàng)建(和放棄)資產(chǎn)。其中許多未知的和未經(jīng)授權(quán)的云計(jì)算資產(chǎn)都處于短暫的IP空間中,這使得組織更難以全面了解其云計(jì)算安全和基礎(chǔ)設(shè)施管理。
隨著全球云采用率的攀升,出現(xiàn)了當(dāng)前工具無(wú)法解決的新IT和安全挑戰(zhàn)。雖然保護(hù)已知資產(chǎn)很簡(jiǎn)單,但是不可能保護(hù)未知的東西,例如影子IT和惡意開(kāi)發(fā)之類的東西,這兩者在云平臺(tái)中都比比皆是。企業(yè)云足跡帶來(lái)了獨(dú)特的挑戰(zhàn),其中包括:
現(xiàn)有工具無(wú)法以當(dāng)前、可靠和全面的方式發(fā)現(xiàn)授權(quán)和未授權(quán)提供商的云計(jì)算資產(chǎn);
未知和未經(jīng)授權(quán)的云資產(chǎn)可以輕松和快速地生成并保持活躍和未被發(fā)現(xiàn);
現(xiàn)有工具在多租戶或短暫環(huán)境中可靠地解決自有資產(chǎn)與其他資產(chǎn)的不足。
在短暫的IP空間中管理和保護(hù)資產(chǎn)需要查看當(dāng)前又準(zhǔn)確的資產(chǎn)?,F(xiàn)有的云計(jì)算管理工具之所以失敗,因?yàn)樗鼈冎皇且驗(yàn)橐淮慰吹酵泄芄举Y產(chǎn)的IP地址而將云計(jì)算IP地址跟蹤到組織。此信息很快就會(huì)變得陳舊,對(duì)于保護(hù)惡意云計(jì)算資產(chǎn)沒(méi)有用處或可行。因此,為靜態(tài)網(wǎng)絡(luò)設(shè)計(jì)的安全范例在云中不起作用。更糟糕的是,依靠這種無(wú)效的方法可能會(huì)導(dǎo)致IT和安全從業(yè)人員進(jìn)行掃描、滲透測(cè)試以及浪費(fèi)時(shí)間來(lái)調(diào)查甚至不屬于他們的資產(chǎn),并且會(huì)同時(shí)丟失產(chǎn)生風(fēng)險(xiǎn)的關(guān)鍵未知云資產(chǎn)。
許多云計(jì)算管理工具供應(yīng)商認(rèn)為,他們通過(guò)與IaaS管理接口的集成提供全面的資產(chǎn)視圖。Expanse公司網(wǎng)絡(luò)風(fēng)險(xiǎn)高級(jí)主管Marshall Kuypers博士警告稱,“從表面上看,這似乎是一個(gè)很好的解決方案,但這種策略只涵蓋已經(jīng)被跟蹤的內(nèi)容,這可能提供虛假的安全保障。”
Kuypers博士指出,這些集成未能識(shí)別“未知的未知數(shù)”,這在大型組織中是例行公事,并且是由于政策外營(yíng)銷、開(kāi)發(fā)和其他業(yè)務(wù)功能導(dǎo)致的惡意云部署。多租戶加劇了這個(gè)問(wèn)題,因?yàn)閬?lái)自多個(gè)公司的資產(chǎn)可以存在于同一個(gè)IP上。
Kuypers博士進(jìn)一步指出,使用Expanses的整個(gè)互聯(lián)網(wǎng)云發(fā)現(xiàn)的客戶經(jīng)常發(fā)現(xiàn)他們不知道的基于云計(jì)算的互聯(lián)網(wǎng)資產(chǎn)增加了3%到70%。而這些資產(chǎn)通常包含一些在組織的互聯(lián)網(wǎng)邊緣風(fēng)險(xiǎn)最大的錯(cuò)誤配置。這些發(fā)現(xiàn)通常包括暴露(有時(shí)已經(jīng)受到破壞)的數(shù)據(jù)存儲(chǔ)服務(wù),廢棄的開(kāi)發(fā)環(huán)境,甚至是彈出式電子商務(wù)站點(diǎn)。
“整體互聯(lián)網(wǎng)”方法
如今,組織的云計(jì)算資產(chǎn)可以駐留在任何一家提供商中,其中包括住宅/商業(yè)云提供商。要徹底解決問(wèn)題,組織必須首先采用發(fā)現(xiàn)優(yōu)先的“整體互聯(lián)網(wǎng)”方法來(lái)實(shí)現(xiàn)云安全。
一旦發(fā)現(xiàn)云資產(chǎn)并暴露出任何有風(fēng)險(xiǎn)的錯(cuò)誤配置,組織就可以利用市場(chǎng)上的無(wú)數(shù)云安全工具,或簡(jiǎn)單地利用IaaS控制臺(tái)來(lái)管理資產(chǎn)權(quán)限和其他配置項(xiàng)。但云計(jì)算的資產(chǎn)發(fā)現(xiàn)必須是一個(gè)持續(xù)的過(guò)程,以保持組織云足跡的清晰準(zhǔn)確的圖像。