虽然大多数人可能都知道了自己是否已在云计算中部属了应用程序或数据,这里有一个小提示:如果你的开发人员有信用卡,那么你已身在云计算中。上面纯属笑谈,这里有着另外一个判定标准:如果你的任何销售代表求助帮助台的次数少于每月一次,那么你就是在使用云计算。
如今企业所面临的首要问题之一并不是他们是否已经采用了某种程度的云计算服务,而是他们是否能够高效、安全地管理他们的云计算迁移。太多太多的企业在发现一些业务部门或开发人员没有通过“正当”的渠道把企业的重要数据或应用程序迁移至云计算时已为时太晚。我们很难责怪他们,因为当开发人员面临如下选择时,我们自己也很难不做出类似的选择:一个是在几分钟内使用信用卡建立一个基于云计算的测试系统;另一个则是花费数月的时间在数据中心中配置建立一个新系统,而且他们还有可能无法直接对其进行管理。
而那些销售代表:永远不要低估那些免费在线服务的作用,它们能够帮助销售人员更为轻松地在途中或在家中远程办公时交换和管理信息。这些挑战可以分为两类:开发人员和IT专家充分使用云计算,将其作为一个扩展的数据中心/测试环境,而用户使用买方/方便的云计算服务来帮助他们更为高效地处理他们的日常工作。这都不是坏事,用户不一定是故意违反规则(如果有规则的话),但是对于我们这些安全专家来说,在有必要的位置获得更多信息、控制这些迁移都是非常重要的。
这里,有三种工具特别能够帮助我们检测和管理云计算使用:
* URL过滤。虽然大多数企业使用了已经过验证的技术来控制诸如成人内容或未授权社交媒体服务等不当网络浏览,但是工具能够轻易地检测多种形式的云计算访问。所有的云计算服务能够高效地把网络作为他们的主要管理接口来使用。由于大多数API都是通过HTTP协议调用已知URL的,因此这类使用可以直接检测到。通过SPI层(即SaaS、PaaS、IaaS),这是可以实现的;由于其管理接口不同于那些只是连接托管服务站点的管理接口,你就不会受到过多误报的困扰。URL过滤器能够为你提供一种使用管理平台和API接口的良好感觉,至少能够实现主要服务。
* 防数据丢失。DLP并不太在意目标,而更多地关注内容。所有完整的DLP工具都支持HTTP解析,甚至如果你支持平台和配置,它还能分析SSL会话。基本DLP规则应当能够轻易地检测到企业中的敏感数据被传送至云计算或其它。你可以通过统计背景内容(如目标)对云计算特定信息进行进一步调整。
* 数据库活动监控。很多人都对雇员在Google Docs上发布一两个文件不怎么关心,而更多地关注开发人员把产品数据放到基于云计算的开发环境中。数据库活动监控能够检测主要生产数据库的活动,它可指示一个至内部或外部测试环境的潜在传送操作。无论何时你看到一个新的、大型数据的子集,你都需要查看一下。如果该用户也输入了一个云计算供应商的URL,那么是时候进一步审查一下了。
这些只是基本的工具;可能有更多的其它工具可以帮助你提高对云计算使用和敏感数据迁移的检测能力。任何时候当你看到有人在云计算服务管理控制台上输入些什么或生成大数据集合时,就应当立即引起警觉并查明是否发生了什么。