久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

盡管影子云威脅著企業(yè)安全，我們?nèi)匀挥蟹椒▉斫档惋L(fēng)險(xiǎn)并保護(hù)企業(yè)的系統(tǒng)和應(yīng)用。

隨著云計(jì)算、工作場所的BYOD以及消費(fèi)電子設(shè)備的增加，對于IT部門來說要追蹤和管理軟件和硬件，并且同時(shí)要維護(hù)和保證一個(gè)環(huán)境的安全性變得越發(fā)困難。沒有IT直接干預(yù)或者IT對此毫不知情的那些員工使用的系統(tǒng)和應(yīng)用被稱為影子IT。

云安全聯(lián)盟的2014云應(yīng)用實(shí)踐和優(yōu)先級調(diào)查強(qiáng)調(diào)了企業(yè)缺乏對影子云應(yīng)用和服務(wù)控制的這一趨勢正在增長，并且這其中有很大比例的企業(yè)甚至沒有一個(gè)程序在那里管理這些應(yīng)用和服務(wù)。我們知道這種狀況已經(jīng)有一段時(shí)間了，McAfee(Intel Security)在2013年也開展了一個(gè)關(guān)于企業(yè)“影子軟件即服務(wù)(SaaS)”的調(diào)查，發(fā)現(xiàn)受訪者或者壓根沒有任何與SaaS應(yīng)用使用相關(guān)的策略，或者根本不知道什么是自己不知道的。

影子云中潛在的威脅

影子云服務(wù)和資產(chǎn)可以導(dǎo)致很多問題和風(fēng)險(xiǎn)，包括：

時(shí)間、能源和投資的浪費(fèi)：影子云容易導(dǎo)致傳統(tǒng)IT在時(shí)間、能源和投資上的浪費(fèi)。如果員工使用未經(jīng)批準(zhǔn)的技術(shù)，浪費(fèi)的會(huì)包括在核準(zhǔn)的技術(shù)上的培訓(xùn)，不觸及影子云的安全技術(shù)策略，審計(jì)和調(diào)查的不夠精確或者有效，由于未批準(zhǔn)的技術(shù)而造成的事件及響應(yīng)，所需的幫助臺(tái)和支持，以及繞過技術(shù)/安全控制等所有這些所花費(fèi)的功夫。

低效：一個(gè)被影子云嚴(yán)重影響但卻經(jīng)常被忽視的領(lǐng)域是流程開展和執(zhí)行。對于正在努力開展和提高運(yùn)營流程成熟度的組織，影子云將成為一個(gè)巨大的障礙。影子云可導(dǎo)致審計(jì)及審計(jì)有效性，庫存和配置管理流程和實(shí)踐，補(bǔ)丁和漏洞管理方案，整體流程效率的舉措，如六西格瑪，以及IT運(yùn)營流程效率的低下。

數(shù)據(jù)丟失或泄漏：影子云容易造成數(shù)據(jù)的丟失或者泄露。當(dāng)員工非法使用如Dropbox或其他的云服務(wù)來存儲(chǔ)敏感數(shù)據(jù)時(shí)，數(shù)據(jù)正在被存儲(chǔ)在組織外，并可能被暴露在一次云提供商的泄漏事件中。存儲(chǔ)在云中的任何數(shù)據(jù)或系統(tǒng)都易于成為對云提供商或其他租戶發(fā)起的攻擊對象。

未知漏洞：當(dāng)系統(tǒng)和應(yīng)用在未知的情況下被部署，他們沒有在系統(tǒng)或者任何應(yīng)用程序清單中列出，很有可能沒有滿足配置和補(bǔ)丁管理的要求。影子云資產(chǎn)和應(yīng)用還易于成為那些已經(jīng)發(fā)布的但沒有被IT人員監(jiān)控的漏洞的受害者，或者受到那些還沒有任何補(bǔ)丁或者修復(fù)的零日漏洞的影響。任何這些問題都可能導(dǎo)致潛在的風(fēng)險(xiǎn)提高，并且一個(gè)組織可能因?yàn)榇嗳醯挠白釉葡到y(tǒng)和應(yīng)用程序的存在而使整個(gè)組織的風(fēng)險(xiǎn)狀況變得嚴(yán)重傾斜。

未知攻擊目標(biāo)：與未知的漏洞相似，此類別側(cè)重于缺乏可靠的系統(tǒng)和數(shù)據(jù)清單。被清單遺漏的系統(tǒng)會(huì)很自然的成為攻擊的對象，特別是云服務(wù)，很容易幫助攻擊面擴(kuò)大到一個(gè)很廣的范圍。

揭開影子云的迷霧

盡管有很多與影子云相關(guān)的風(fēng)險(xiǎn)，安全團(tuán)隊(duì)可以使用一些策略來處理這些問題。組織可以采取的一些減輕風(fēng)險(xiǎn)的重要步驟包括：

策略和指導(dǎo)：安全策略必須要更精細(xì)，一方面受到業(yè)務(wù)流程的驅(qū)使，另一方面因?yàn)轱L(fēng)險(xiǎn)的關(guān)系。CISO必須向業(yè)務(wù)經(jīng)理解釋基于風(fēng)險(xiǎn)的精細(xì)安全策略和對云實(shí)施的加強(qiáng)。反過來，業(yè)務(wù)經(jīng)理在想要使用云服務(wù)的時(shí)候需要讓安全團(tuán)隊(duì)了解業(yè)務(wù)流程應(yīng)該如何和不應(yīng)該如何運(yùn)作。在策略上解決允許和禁止云服務(wù)的使用是控制影子云的第一步。

監(jiān)控和訪問限制：監(jiān)控進(jìn)入云端的數(shù)據(jù)和流量對于檢測影子云的使用是很重要的。對內(nèi)網(wǎng)，系統(tǒng)和數(shù)據(jù)的訪問限制也會(huì)對識(shí)別未知系統(tǒng)和應(yīng)用有所幫助。一個(gè)好的出發(fā)點(diǎn)是對互聯(lián)網(wǎng)進(jìn)行內(nèi)容過濾(URL 過濾) 。現(xiàn)在有Skyhigh Networks和Netskope這樣的廠商提供的特定云的內(nèi)容和應(yīng)用程序過濾，可以很方便的幫助監(jiān)測和防止影子云的使用。即便一個(gè)組織選擇不完全限制訪問，監(jiān)控和記錄日志可以幫助確定哪些正在被使用。在此基礎(chǔ)上可以產(chǎn)生決策以及對風(fēng)險(xiǎn)進(jìn)行優(yōu)先級規(guī)劃。

基礎(chǔ)架構(gòu)控制：象防火墻規(guī)則、子網(wǎng)劃分、VLAN和ACL這樣的基本控制可以很有幫助。強(qiáng)化的系統(tǒng)配置，掃描和打補(bǔ)丁可以有助于在已知的云環(huán)境里防止未授權(quán)應(yīng)用的安裝。

影子云突顯了其他業(yè)務(wù)需求

要整治影子云的使用可以是一個(gè)漫長而艱難的過程，這已經(jīng)不是什么秘密。通常情況下，影子云標(biāo)志著政治問題或業(yè)務(wù)需求差距需要在一個(gè)組織里得到解決，而盡可能提供更安全的選擇恰恰是信息安全所要做到的。幸運(yùn)的是，有無數(shù)的工具和技術(shù)，可以對此提供幫助。