盡管影子云威脅著企業(yè)安全,我們?nèi)匀挥蟹椒▉斫档惋L(fēng)險并保護(hù)企業(yè)的系統(tǒng)和應(yīng)用。
隨著云計算、工作場所的BYOD以及消費電子設(shè)備的增加,對于IT部門來說要追蹤和管理軟件和硬件,并且同時要維護(hù)和保證一個環(huán)境的安全性變得越發(fā)困難。沒有IT直接干預(yù)或者IT對此毫不知情的那些員工使用的系統(tǒng)和應(yīng)用被稱為影子IT。
云安全聯(lián)盟的2014云應(yīng)用實踐和優(yōu)先級調(diào)查強(qiáng)調(diào)了企業(yè)缺乏對影子云應(yīng)用和服務(wù)控制的這一趨勢正在增長,并且這其中有很大比例的企業(yè)甚至沒有一個程序在那里管理這些應(yīng)用和服務(wù)。我們知道這種狀況已經(jīng)有一段時間了,McAfee(Intel Security)在2013年也開展了一個關(guān)于企業(yè)“影子軟件即服務(wù)(SaaS)”的調(diào)查,發(fā)現(xiàn)受訪者或者壓根沒有任何與SaaS應(yīng)用使用相關(guān)的策略,或者根本不知道什么是自己不知道的。
影子云中潛在的威脅
影子云服務(wù)和資產(chǎn)可以導(dǎo)致很多問題和風(fēng)險,包括:
時間、能源和投資的浪費:影子云容易導(dǎo)致傳統(tǒng)IT在時間、能源和投資上的浪費。如果員工使用未經(jīng)批準(zhǔn)的技術(shù),浪費的會包括在核準(zhǔn)的技術(shù)上的培訓(xùn),不觸及影子云的安全技術(shù)策略,審計和調(diào)查的不夠精確或者有效,由于未批準(zhǔn)的技術(shù)而造成的事件及響應(yīng),所需的幫助臺和支持,以及繞過技術(shù)/安全控制等所有這些所花費的功夫。
低效:一個被影子云嚴(yán)重影響但卻經(jīng)常被忽視的領(lǐng)域是流程開展和執(zhí)行。對于正在努力開展和提高運(yùn)營流程成熟度的組織,影子云將成為一個巨大的障礙。影子云可導(dǎo)致審計及審計有效性,庫存和配置管理流程和實踐,補(bǔ)丁和漏洞管理方案,整體流程效率的舉措,如六西格瑪,以及IT運(yùn)營流程效率的低下。
數(shù)據(jù)丟失或泄漏:影子云容易造成數(shù)據(jù)的丟失或者泄露。當(dāng)員工非法使用如Dropbox或其他的云服務(wù)來存儲敏感數(shù)據(jù)時,數(shù)據(jù)正在被存儲在組織外,并可能被暴露在一次云提供商的泄漏事件中。存儲在云中的任何數(shù)據(jù)或系統(tǒng)都易于成為對云提供商或其他租戶發(fā)起的攻擊對象。
未知漏洞:當(dāng)系統(tǒng)和應(yīng)用在未知的情況下被部署,他們沒有在系統(tǒng)或者任何應(yīng)用程序清單中列出,很有可能沒有滿足配置和補(bǔ)丁管理的要求。影子云資產(chǎn)和應(yīng)用還易于成為那些已經(jīng)發(fā)布的但沒有被IT人員監(jiān)控的漏洞的受害者,或者受到那些還沒有任何補(bǔ)丁或者修復(fù)的零日漏洞的影響。任何這些問題都可能導(dǎo)致潛在的風(fēng)險提高,并且一個組織可能因為脆弱的影子云系統(tǒng)和應(yīng)用程序的存在而使整個組織的風(fēng)險狀況變得嚴(yán)重傾斜。
未知攻擊目標(biāo):與未知的漏洞相似,此類別側(cè)重于缺乏可靠的系統(tǒng)和數(shù)據(jù)清單。被清單遺漏的系統(tǒng)會很自然的成為攻擊的對象,特別是云服務(wù),很容易幫助攻擊面擴(kuò)大到一個很廣的范圍。
揭開影子云的迷霧
盡管有很多與影子云相關(guān)的風(fēng)險,安全團(tuán)隊可以使用一些策略來處理這些問題。組織可以采取的一些減輕風(fēng)險的重要步驟包括:
策略和指導(dǎo):安全策略必須要更精細(xì),一方面受到業(yè)務(wù)流程的驅(qū)使,另一方面因為風(fēng)險的關(guān)系。CISO必須向業(yè)務(wù)經(jīng)理解釋基于風(fēng)險的精細(xì)安全策略和對云實施的加強(qiáng)。反過來,業(yè)務(wù)經(jīng)理在想要使用云服務(wù)的時候需要讓安全團(tuán)隊了解業(yè)務(wù)流程應(yīng)該如何和不應(yīng)該如何運(yùn)作。在策略上解決允許和禁止云服務(wù)的使用是控制影子云的第一步。
監(jiān)控和訪問限制:監(jiān)控進(jìn)入云端的數(shù)據(jù)和流量對于檢測影子云的使用是很重要的。對內(nèi)網(wǎng),系統(tǒng)和數(shù)據(jù)的訪問限制也會對識別未知系統(tǒng)和應(yīng)用有所幫助。一個好的出發(fā)點是對互聯(lián)網(wǎng)進(jìn)行內(nèi)容過濾(URL 過濾) ?,F(xiàn)在有Skyhigh Networks和Netskope這樣的廠商提供的特定云的內(nèi)容和應(yīng)用程序過濾,可以很方便的幫助監(jiān)測和防止影子云的使用。即便一個組織選擇不完全限制訪問,監(jiān)控和記錄日志可以幫助確定哪些正在被使用。在此基礎(chǔ)上可以產(chǎn)生決策以及對風(fēng)險進(jìn)行優(yōu)先級規(guī)劃。
基礎(chǔ)架構(gòu)控制:象防火墻規(guī)則、子網(wǎng)劃分、VLAN和ACL這樣的基本控制可以很有幫助。強(qiáng)化的系統(tǒng)配置,掃描和打補(bǔ)丁可以有助于在已知的云環(huán)境里防止未授權(quán)應(yīng)用的安裝。
影子云突顯了其他業(yè)務(wù)需求
要整治影子云的使用可以是一個漫長而艱難的過程,這已經(jīng)不是什么秘密。通常情況下,影子云標(biāo)志著政治問題或業(yè)務(wù)需求差距需要在一個組織里得到解決,而盡可能提供更安全的選擇恰恰是信息安全所要做到的。幸運(yùn)的是,有無數(shù)的工具和技術(shù),可以對此提供幫助。