过去的传统IT组织,以一种有组织的、结构化的方式,使用所开发、获取以及部署的系统,例如,所有员工使用的电子邮件,有些人使用的图形设计工具,或者部门所使用的工资处理系统或者人力资源管理工具。
更重要的是,访问这些系统通常是在IT经理和系统管理员的监控下。想要安装私人系统或者安装公司收购的系统,必须通过IT“监测屏”后才能够部署这些系统。自IT早期以来,这种模式通常运行良好。
然而,云计算的出现对这种模式提出了挑战。云技术迅速发展并得到认可,为IT服务设计和部署带来了一种全新模式:自己动手云服务规划和管理,现在已成为现实。
至少可以说,这种新的“流氓”云使用模式,给IT安全领导带来了很多麻烦。没有IT专业人士的专业知识和参与的情况下,为使用云服务的非IT员工构建并运行IT系统,就是为各种潜在灾难性的信息安全场景创造条件。本文中,我们将研究流氓云的部署,包括为什么要避免流氓云,如何发现流氓云部署以及如何有效地管理它们。
识别流氓云用例问题
流氓云用例,简而言之,是指用于促进组织业务的基于云的资源,在未经授权的情况下被擅自使用。这种趋势迅速发展的一个重要原因在于它绕过了IT组织,IT组织往往被视为实现新兴业务流程的一个路障或阻碍。而现在,无需花费高成本,简单地就能够使服务器在云中运转,在企业IT结构的外部,启动Web服务器或者SharePoint;对用户来说,意味着绕过了很多企业内部存在的繁文缛节。
然而,IT能够提供并管理产品和服务的安全投资组合,流氓云设施会对这种能力产生负面影响。例如,不当配置的流氓云安装可能无法充分保护重要或敏感的业务数据,从而使其泄露到懂行的攻击者手中。或者更糟的是,攻击者可能通过潜在的网络安全漏洞,进入到公司的网络边界——利用网络安全人员无法识别与控制的空缺,因为网络安全人员根本不了解云实例。
《赛门铁克2013避免云隐性成本调查(pdf)》中解决的问题包含流氓云系统。全球IT组织中3200多人参与这项调查。报告显示,新增近三分之一的受访者在其组织中部署流氓云。另一个涉及流氓云使用的关键发现是数据备份问题。据赛门铁克称,超过40%的受访者在云中数据丢失。在这部分受访者中,三分之二的人都无法成功恢复数据。
发现流氓云部署
最可行的对策就是假设流氓云设施已经存在。因此开发各类程序——例如,利用现有的性能监控工具和云服务提供商的监控支持——就能够识别并确定可疑云活动的来源。
口头宣传一直是发现特设云使用的最简单的方法。精明的IT安全组织通常与整个组织的所有部门和关键人物联系密切。理论上,这种连通性提供一个窗口,可以看到部门和个人用户在做什么,以及安全如何作为促进者支持他们的努力,而不是一种抑制剂。
网络监控同样重要。主动监测未经授权的云使用,识别突变的网络流量模式,观察可疑网络活动穿过入侵检测/预防系统,或者发现数据存储需求的异常变化,这些都可能会识别出潜在的流氓云活动。用户与IT授权的提供商创建未经授权实例,提供商可能会发现使用异常(如那些服务水平之外的协议参数),也可能是流氓活动。
管理流氓云部署
假设你识别出了流氓云活动,能够抵制住诱惑,立即关闭。如果不能的话,那么确定流氓云活动对IT操作产生什么影响,具体地说,看它是否能在某种程度上协调组织能力、保护敏感数据以及保留重要的IT资产安全。一些未经授权的云实例是没有危害的,只是需要文档。一旦发现流氓云活动,并且做了详细调查,很明显存在一些需考虑的安全风险,那么必须通知高级管理层,并且要么中止流氓云安装、妥善保护,要么将流氓云合并到现有的IT操作中。
另外,高层管理人员同意制定云服务使用的政策,包括解决非IT和其他未经授权部署问题,解释为什么对公司不利,并详述未能遵守政策的惩罚等的条款。这些将有助于减少未来特设云使用的可能性。