時代在改變,現在安全專業人士的“武器庫”中出現了新的武器來打擊不斷增加的網絡攻擊風險—雲計算。信息安全領域向我們隱藏了一個黑暗祕密:我們正在打一場必輸的戰爭,並且以驚人的速度以數據泄露的形式失去我們的陣地。這並不是因爲我們在保護企業資產方面不夠努力,而是歸結於一個簡單的事實:與我們的防禦相比,攻擊者有更多的時間和工具發動攻擊。一些企業根本沒有足夠的資金投資於信息安全計劃所需的資源,而其他企業則試圖以最少的人員和預算部署“半吊子”信息安全計劃,以滿足合規要求。可見,我們正在打一場輸仗並不是一個祕密。
越來越多的企業開始部署雲計算,來幫助降低成本、提高靈活性和提供業務專業技能。基於雲計算的安全服務也具有相同的優勢。這種新興的安全即服務模式爲網絡攻擊和網絡防禦提供了前所未有的公平競爭環境。不過,需要注意的是,部署企業雲解決方案所涉及的風險同樣存在於部署基於雲計算的安全服務中。那麼,你知道何時安全即服務適合你的企業嗎?企業需要考慮基於雲計算的安全服務的優點和缺點。
雲計算安全服務優勢
1.人員力量增強
信息安全是一種勞動密集型工作。我們可以自動化很多工作,但最終總是需要人來做出判斷。我們需要從服務器、網絡設備、防火牆和入侵檢測系統收集日誌,這些都要求工作人員完全集中注意力。勞動力是安全計劃中最繁忙的。數據泄露隨時可能會發生,而系統始終“忠誠地”記錄着信息,直到有人有足夠的時間來轉譯這些日誌信息。最近發生了很多涉及系統滲透的數據泄露事故,這些泄露數月後才被安全團隊發現。並且,這些數據泄露事故的報告往往來自外部第三方,因爲內部沒有人有時間來轉譯這些日誌數據。
這也是安全即服務派上用場的地方。雲計算主要是共享資源以實現規模經濟。安全即服務解決方案可以指派團隊處理特定活動(例如監控日誌),並在很多不同客戶間分攤成本,爲大家降低單位成本。安全計劃現在可以提供一個專門的日誌監控小組,如果沒有基於雲計算的模式,這是不可能實現的。這提高了安全計劃的有效性,並且讓內部人員有更多時間放在更高層次的風險管理工作上。
2.提供先進的安全工具
我們都做過這樣的事:下載需要投入大量時間以降低安全風險的開源安全工具。這些開源工具是免費的,並且也不需要其他預算。開源技術並沒有問題,甚至非常好用。不幸的是,開源技術需要花費大量時間來在生產環境中安裝和維護。例如,你花了多少小時來試圖找到一個Snort規則,以讓你的IDS服務啓動?
在另一個領域,部署安全即服務也十分有效:你的安全計劃還可以通過雲計算規模經濟獲得先進的安全工具。這些可用安全工具的質量和種類可以與其他企業內部部署的商業產品媲美,且花費沒那麼多。更重要的是,這些工具將由雲服務供應商來維護,所以你有足夠的時間來利用這些工具的優勢。
3.提供專業技術知識
信息安全是一個廣泛的話題,不可能有人瞭解各個方面的各個細節。例如,一些安全專業人士專注於取證,而另一些則專注於Web應用安全。其他人則因爲在企業的安全計劃中缺乏足夠的人力資源,而僅有全面但不精細的安全知識。這種知識方面的差距可能導致嚴重的盲點--無法察覺到風險,更別提緩解風險。
安全即服務可以幫助解決這個問題。提供基於雲計算的安全的供應商主要側重於信息安全的特定方面。例如,一些供應商提供基於雲的漏洞掃描儀(由專家維護)來檢測互聯網中可利用的系統。其他雲供應商則圍繞抵禦拒絕服務(DoS)攻擊來建立自己的整個網絡。企業沒有足夠的資金聘請相關安全專家或部署資源,而安全即服務讓企業可以利用這些專家和資源的優勢。這使得內部安全人員不用過多關注技術細節,而更多地關注如何戰略性地管理企業的信息安全風險。
4. 將信息安全定位爲業務推動力
信息安全部門通常被認爲是在企業活動中設置路障的部門,造成這種想法的原因有很多,而這實際上可能並不是信息部門的錯誤。企業中的一些人可能不理解用於保護機密數據的加密或防火牆技術的重要性。即使他們明白這些技術背後的原因,他們肯定也不明白部署這些安全技術所需要的時間。
安全即服務也可以幫助解決這個問題。它不能讓企業其他部門瞭解安全需求,但它能確保更快的部署安全技術,而這可以減少既定的企業項目的影響。這是所有基於雲計算的安全服務的一個關鍵優勢,安全計劃必須利用這一優勢。例如,虛擬服務器可以快速自動地通過相同的防火牆規則來配置。這還可以讓信息安全部門與企業領導建立不同的關係,並可以改變人們對信息安全的看法,將其視爲業務推動者,而不是障礙。
5.一種新方法
除了安全即服務的諸多好處外,一些新類型基於雲計算的安全也具有一定的優勢。除了傳統的電子郵件和Web過濾安全即服務外,還有一些新服務值得企業關注,它們可以幫助解決安全行業一直在努力解決而未見成效的老問題。雲計算模式的引入爲我們提供了一種新方法,也許可以幫助我們解決這些難題。
6.身份管理
密碼是衆多老問題中的一個,它幾乎與多用戶計算同時出現。在20世紀80年代的一部電影中,我們看到了一個黑客從便利貼竊取系統密碼,現在,員工仍然將寫有密碼的便利貼放在其鍵盤下。用戶管理單個密碼都有困難,更別提現代環境中讓他們揹負10個密碼。
對於系統管理員和人力資源部門而言,管理員工賬戶並不是簡單的工作。新員工都在等待訪問系統以完成其工作,而有時候,當員工離職後,其賬戶可能沒有被及時禁用。這種複雜的手動系統給系統管理員和人力資源兩方面都帶來安全風險。
有幾個可靠的安全即服務產品可以加快賬戶管理過程,並提供單點登錄功能。它們可以與雲端的系統以及內部網絡中的系統配合使用。這些服務利用了開放標準協議(例如SAML),甚至允許結合內部微軟Active Directory基礎設施。通過這種混合方法,即內部和外部服務從同一來源進行身份驗證,企業可以節省時間和資金,簡化密碼過程,同時還降低整體風險。
7.虛擬機管理
在單個硬件服務器運行多個虛擬服務器是信息技術領域最具顛覆性的改變。企業迅速部署私有云、公共雲和混合雲來取代擠滿數據中心的物理硬件。然而,這項技術也可能給信息安全帶來破壞性的影響,同時帶來更多新的挑戰。
在公共雲或私有云管理虛擬服務器的挑戰之一是配置管理。配置管理包括通過基於企業政策的安全方法配置和維護服務器,這些方法有防火牆政策、文件系統權限和安裝的服務。支持這一過程的技術已經充斥在數據中心中。基於雲計算的配置管理系統需要能夠跨多個雲服務供應商和內部數據中心提供這種功能。
用於配置管理的基於雲計算的安全服務提供這種功能。它們用越來越多針對Windows服務器的功能提供對Linux的完整控制,它們還可以用於GoDaddy.com託管的服務器以及Linode託管的服務器。令人驚訝的是,這些新的基於雲的配置管理系統更易於配置,並且與之前內部託管系統一樣強大。這是值得安全專業人士關注的另一個基於雲計算的安全服務,即使他們只有內部服務器資源需要管理。
8.網絡層保護
在過去幾年中,保護對基於互聯網的資產的網絡連接變得越來越迫切。現在,網站正越來越多地受到網絡犯罪分子和黑客組織的攻擊。黑客組織Anonymous使用低技術工具(例如Low Orbit Ion Cannon)對各種企業發動DoS攻擊繼續成爲新聞頭條,這種類型的攻擊主要出現在企業靠互聯網來訪問基於雲的應用的當下。
對這種針對雲資產的攻擊的最好防禦其實是雲本身。一些安全即服務解決方案通過利用大量帶寬和智能協議路由,來提供針對DoS攻擊的保護。這些服務還可以將Web服務器隱藏在其前端服務器後,防止遭受路過式攻擊。其他基於雲計算的安全包括PCI DSS、數據標記化、web應用防火牆以及隱藏DNS服務器。