專為數(shù)據(jù)中心設(shè)計(jì)的傳統(tǒng)安全工具是無法在云環(huán)境中正常運(yùn)行的。根據(jù)安全管理人員的說法，這需要新的方法。本文講述了企業(yè)該如何在夾縫中生存。

  與眾多企業(yè)一樣，F(xiàn)enwick & West LLP的IT服務(wù)是通過內(nèi)部部署、軟件即服務(wù)和云基礎(chǔ)設(shè)施的組合來提供的。這種情況極大地?cái)U(kuò)大了硅谷律師事務(wù)所面對(duì)安全挑戰(zhàn)的范圍，并迫使它采用新技術(shù)來填補(bǔ)傳統(tǒng)安全工具不再起作用的缺口。

  “當(dāng)我們集成云和內(nèi)部部署時(shí)，我們的安全問題已經(jīng)變得更大了，”Fenwick & West LLP的CIO Matt Kesner說，他們家公司主要為美國國內(nèi)高科技企業(yè)和生命科學(xué)領(lǐng)域公司提供法律服務(wù)。

  “我們所擁有的所有安全技術(shù)與我們內(nèi)部部署解決方案中的是一模一樣的，”他說。“但是，我們也對(duì)專門為云開發(fā)的安全新技術(shù)進(jìn)行了投資?！?

  Fenwick & West的應(yīng)用經(jīng)驗(yàn)在越來越多遭遇傳統(tǒng)安全障礙的企業(yè)中是極具代表性的，他們都在將工作負(fù)載遷移至云的同時(shí)還維護(hù)著他們內(nèi)部IT基礎(chǔ)設(shè)施的部分。

  在2015年10月，SANS研究所發(fā)布了一份基于調(diào)查的報(bào)告《現(xiàn)代企業(yè)中動(dòng)態(tài)數(shù)據(jù)中心與云計(jì)算安全狀態(tài)》，報(bào)告宣稱絕大多數(shù)企業(yè)的混合云服務(wù)應(yīng)用只停留在計(jì)算表面。受訪的430名IT安全專業(yè)人士中的大部分人表示，他們的企業(yè)安全問題由于增加了私有、公共以及混合云服務(wù)而變得更為嚴(yán)峻起來。很多人表示他們的企業(yè)正在使用的傳統(tǒng)安全控制措施在云中無法正常工作或者根本不工???????。正如SANS分析師Dave Shackleford(他曾多次在信息安全雜志上撰文)在報(bào)告中所指出的：“在現(xiàn)代動(dòng)態(tài)數(shù)據(jù)中心和云用中所缺失的關(guān)鍵性安全功能包括可見性、快速攻擊識(shí)別以及快速精確的自動(dòng)化控制手段?！?

  以下是一些安全管理人員和分析師所提供的一些關(guān)鍵要點(diǎn)，可供用戶在集成原有安全系統(tǒng)和混合云服務(wù)時(shí)予以參考。

  舊的安全技術(shù)并不是消亡，但它們會(huì)演變。

  原有的安全技術(shù)都是為了保護(hù)企業(yè)內(nèi)部部署應(yīng)用程序和數(shù)據(jù)而設(shè)計(jì)開發(fā)的，它們一般都不適用于云的環(huán)境。但這并不意味著它們很快就會(huì)過時(shí)。一個(gè)很好的例子就是防火墻。

  無論是由內(nèi)部部署還是云基礎(chǔ)設(shè)施提供的IT服務(wù)，用戶所需要的無非是保護(hù)他們的系統(tǒng)免受外部攻擊者的攻擊并分隔它們。

  20多年來，防火墻技術(shù)都在傳統(tǒng)內(nèi)部部署數(shù)據(jù)中心環(huán)境中提供了這樣一種能力，最初是基于簽名的系統(tǒng)，而最近的則是下一代異常檢測系統(tǒng)。

  我們希望這項(xiàng)技術(shù)不僅能夠在傳統(tǒng)數(shù)據(jù)中心內(nèi)發(fā)揮重要作用，而且在云計(jì)算中也能游刃有余。

  “主流防火墻供應(yīng)商們的防火墻產(chǎn)品出貨量并未有所降低，”SANS研究所新興威脅總監(jiān)John Pescatore說。

  與硬件設(shè)施最大的不同之處在于，在云中防火墻功能是通過軟件提供的。雖然隨著越來越多的企業(yè)和應(yīng)用程序轉(zhuǎn)向使用混合云服務(wù)，對(duì)于物理設(shè)施的需求可能會(huì)減弱，但是對(duì)于銷售虛擬防火墻或者類似防火墻的過濾和阻止功能的供應(yīng)商需求將有所擴(kuò)大。

  用戶可以使用主流云供應(yīng)商所提供安全措施以取代防火墻的說法就是一個(gè)神話：“基礎(chǔ)設(shè)施永遠(yuǎn)不會(huì)自己來保護(hù)用戶。用戶仍然需要防火墻，但是它們的交付和管理方式都是不同的，”Pescatore說。一般來說，防病毒和反惡意軟件工具也是如此，他補(bǔ)充說。

  防火墻和虛擬專用網(wǎng)絡(luò)(VPN)是安全措施由于采用云而可能變更交付機(jī)制的顯著候選技術(shù)。其他技術(shù)包括入侵檢測和預(yù)防系統(tǒng)、基于網(wǎng)絡(luò)的反惡意軟件工具和一些數(shù)據(jù)泄露防護(hù)功能。但是，對(duì)著這些工具交付功能的需求將保持不變，Pescatore說。

  “很難說原有技術(shù)已經(jīng)過時(shí)，”IDC安全研究副總裁Pete Lindstrom說?！斑@只是一個(gè)原有工具的進(jìn)化?！?

  越來越多的傳統(tǒng)安全技術(shù)將從單一的企業(yè)模式轉(zhuǎn)變?yōu)橥ㄟ^云計(jì)算發(fā)布的高度分布式服務(wù)，Lindstrom說。很多安全技術(shù)都將進(jìn)入云，并成為虛擬化層的一部分。

  只有所有一切都已遷移至云，用戶才可能需要更多而不是更少的安全控制措施。

  使用云服務(wù)將讓企業(yè)用戶更難以保持企業(yè)中正在進(jìn)行的一切。

  “總體而言，我們并沒有看到簡化的安全措施，”Kesner說。

  當(dāng)用戶的全部工作負(fù)載都在內(nèi)部部署中，并且圍繞用戶應(yīng)用程序和基礎(chǔ)設(shè)施布置周邊設(shè)施時(shí)，我們很容易就能看到流出流入企業(yè)的所有數(shù)據(jù)流，并明確誰何時(shí)何地如何訪問了什么。

  當(dāng)用戶的數(shù)據(jù)和應(yīng)用程序是部分在內(nèi)部部署部分在云中時(shí)，這個(gè)任務(wù)變得更加復(fù)雜了，因?yàn)槿藗兪菑腜C和移動(dòng)設(shè)施從防火墻后和從外部對(duì)它們進(jìn)行訪問的。

  “事實(shí)上有著我們用戶為業(yè)務(wù)創(chuàng)建的大量數(shù)據(jù)，而他們將這些數(shù)據(jù)作為IT組進(jìn)行訪問，我們只是看不到而已，”Kesner說。

  傳統(tǒng)的安全工具是無法實(shí)現(xiàn)這種可見性的。目前，微軟企業(yè)系統(tǒng)可認(rèn)證對(duì)Fenwich & West托管的所有應(yīng)用程序的訪問。但是，它不會(huì)讓用戶登錄到公司的Salesforce數(shù)據(jù)庫或者其基于云的人力資源系統(tǒng)。

  這家律師事務(wù)所被迫尋找其他的可用技術(shù)。

  Kesner的策略就是在云中實(shí)施單點(diǎn)登陸功能，以此作為一種獲得對(duì)用戶使用企業(yè)應(yīng)用程序和數(shù)據(jù)做了些什么更多了解的方法?！拔覀兛吹胶喕覀儼踩軜?gòu)的唯一方法就是將我們的身份驗(yàn)證架構(gòu)遷移至云之中。這一舉措將支持內(nèi)部部署和云，從而擴(kuò)大了我們?yōu)樽罱K用戶所提供的服務(wù)范疇?！?

  Fenwick & West的CIO正在尋求為公司的云應(yīng)用使用新的登陸功能，補(bǔ)充其基于云的認(rèn)證功能，這將從Salesforce開始。這家律師事務(wù)所也正在評(píng)估幾家初創(chuàng)企業(yè)所提供的技術(shù)，以便應(yīng)用于針對(duì)云應(yīng)用訪問的防火墻和VPN功能實(shí)施中。“我們看到的一切都是充滿了滿滿的希望，”Kesner說。

  與Fenwick & West一樣,大多數(shù)使用內(nèi)部部署和混合云服務(wù)組合的企業(yè)將需要更多(而不是更少)的工具用于安全性管理。根據(jù)SANS報(bào)告稱，企業(yè)用戶往往更傾向于在數(shù)據(jù)中心內(nèi)使用防火墻、入侵防御和檢測系統(tǒng)(IPS/IDS)以及服務(wù)器與應(yīng)用程序監(jiān)控工具，但是此類工具在云計(jì)算環(huán)境中的使用率是極具減少的。只有約三分之一的IT安全專業(yè)人士表示，他們的企業(yè)使用了基于云的防火墻。而???????乎所有受訪者(96%)都表示在內(nèi)部部署中使用了安全技術(shù)。類似地，只有29%的受訪者表示他們的企業(yè)在云計(jì)算環(huán)境中使用了IPS/IDS，而僅有28%使用了服務(wù)器與應(yīng)用程序監(jiān)控工具。相比之下，分別由83%和77%的受訪者在內(nèi)部部署數(shù)據(jù)中心內(nèi)使用了這些工具。

  據(jù)SANS稱，由于云相對(duì)缺乏安全技術(shù)和戰(zhàn)略思考，這種情況是有相當(dāng)大問題的，因?yàn)樗蛊髽I(yè)直接面臨著嚴(yán)重的安全風(fēng)險(xiǎn)。

  用戶所需安全控制措施的類型取決于云模式。

  用戶現(xiàn)有安全控制措施的有效性和在云環(huán)境中的需求在很大程度上取決于用戶所使用的云模式，Viewpost的執(zhí)行副總裁、總法律顧問兼首席安全官Christopher Pierson指出，Viewpost是一家總部位于佛羅里達(dá)州Maitland的在線支付和發(fā)票服務(wù)供應(yīng)商?！盎A(chǔ)設(shè)施即服務(wù)環(huán)境幾乎需要傳統(tǒng)數(shù)據(jù)中心中所需要的所有相同控制措施，”他說。“任何有可能對(duì)關(guān)鍵數(shù)據(jù)造成風(fēng)險(xiǎn)的威脅都需要實(shí)施安全控制措施。”

  在使用平臺(tái)即服務(wù)(PaaS)模式中，了解安全模式是挑戰(zhàn)的一部分，Pierson說。

  “在PaaS環(huán)境中，大多數(shù)的安全性問題都成為了SecOps團(tuán)隊(duì)審查和訪問的對(duì)象，而不是由該團(tuán)隊(duì)開發(fā)和維護(hù)，”他說?！坝捎谄髽I(yè)用戶實(shí)際上只是擁有著數(shù)據(jù)層和應(yīng)用程序?qū)?，所以類似于IPS/IDS和DDoS(分布式拒絕服務(wù))之類的緩解措施也不是由企業(yè)來管理的?！?

  因?yàn)樵赑aaS模式中內(nèi)部部署是沒有真正主機(jī)的，所以對(duì)于內(nèi)部防病毒和反惡意軟件功能與技術(shù)的需求就更少了。甚至諸如防火墻之類的技術(shù)就能夠作為云計(jì)算服務(wù)，或者當(dāng)所有東西都是從云中交付時(shí)就可完全刪除此類功能。

  “所有企業(yè)都在重點(diǎn)關(guān)注的無非就是他們所開發(fā)的應(yīng)用程序、安全代碼實(shí)踐以及底層數(shù)據(jù)加密，”Pierson說。訪問、加密以及相關(guān)技術(shù)(例如用于管理密鑰的硬件安全模塊)都是企業(yè)用戶需要應(yīng)對(duì)和管理的主要控制措施。

  安全供應(yīng)商將需要開發(fā)出云應(yīng)用環(huán)境下的產(chǎn)品。

  SANS稱，云應(yīng)用和特定云服務(wù)供應(yīng)商管理程序缺乏專用選項(xiàng)和虛擬化設(shè)施是企業(yè)用戶所面臨的挑戰(zhàn)?！爸T如防火墻、入侵檢測/防御平臺(tái)之類的基礎(chǔ)網(wǎng)絡(luò)安全技術(shù)在公共云中有著明顯更低的使用率，”去年十月報(bào)告稱，其部分原因是供應(yīng)商缺少對(duì)這些技術(shù)的支持。

  為了做到這一點(diǎn)，SANS的Pescatore說，數(shù)據(jù)中心安全技術(shù)廠商們需要針對(duì)云環(huán)境開發(fā)他們的產(chǎn)品。在短期內(nèi)，技術(shù)供應(yīng)商們可能會(huì)在他們的產(chǎn)品中增加基于云的交付功能，同時(shí)維持他們的數(shù)據(jù)中心產(chǎn)品。隨著時(shí)間的推移，當(dāng)越來越多的傳統(tǒng)安全應(yīng)用程序遷往云，供應(yīng)商們可能也會(huì)開始完全地從云交付他們的功能。他指出，對(duì)企業(yè)來說至關(guān)重要的幾個(gè)安全功能將也會(huì)通過這一方式提供并從中受益。

  例如，企業(yè)用于掃描其應(yīng)用程序和網(wǎng)絡(luò)的眾多漏洞掃描技術(shù)將在云環(huán)境中無法正常工作。所以，開發(fā)一個(gè)能夠?qū)彶槠髽I(yè)云基礎(chǔ)設(shè)施并提供諸如虛擬機(jī)、防火墻配置等信息和訪問控制列表的虛擬掃描器將可能產(chǎn)生巨大差異。

  類似地，擁有一個(gè)可用于亞馬遜網(wǎng)絡(luò)服務(wù)、微軟Azure和其他云環(huán)境的網(wǎng)絡(luò)安全網(wǎng)關(guān)將為企業(yè)用戶提供一個(gè)針對(duì)云托管應(yīng)用程序和數(shù)據(jù)進(jìn)行流量過濾和執(zhí)行安全策略的方法。

  另一個(gè)能夠從云應(yīng)用中獲益的領(lǐng)域就是取證，Pescatore補(bǔ)充道。數(shù)據(jù)中心取證工具在查找存儲(chǔ)在屬于第三方服務(wù)供應(yīng)商的硬盤驅(qū)動(dòng)器上的數(shù)據(jù)方面是幾乎無能為力的。需要擁有在云環(huán)境中進(jìn)行事件審查和數(shù)據(jù)查找能力的企業(yè)必須擁有具有相關(guān)功能的工具。