• 當前位置:聯(lián)升科技 > 技術(shù)資訊 > 應用安全 >

    企業(yè)上云的七大常見(jiàn)安全錯誤

    2021-01-21    作者:安全牛    來(lái)源:安全牛    閱讀: 次
    2021年新冠疫情反復肆虐,全球性的遠程辦公已經(jīng)成了“基本操作”,大量企業(yè)主動(dòng)或被動(dòng)轉向云計算大規模遷徙,但是正如塞倫蓋提大草原上的動(dòng)物遷徙,沿途危機四伏。在Menlo Security對200位IT經(jīng)理進(jìn)行的一項調查中,有40%的受訪(fǎng)者表示,由于企業(yè)大規模上云,他們正面臨著(zhù)來(lái)自云應用和物聯(lián)網(wǎng)(IoT)的安全威脅。

    企業(yè)上云面臨的安全威脅很多都是老問(wèn)題,但這些威脅因為敦刻爾克式的大規模倉促行動(dòng)而被放大了,例如影子IT、BYOD和虛擬專(zhuān)用網(wǎng)。遠程辦公導致2020個(gè)人PC市場(chǎng)迎來(lái)“偉大復興”,但我們也應該意識到,“個(gè)人”PC不再是個(gè)人使用,同一臺計算機可能同時(shí)也在運行孩子的網(wǎng)校、網(wǎng)游和社交應用,而相關(guān)的安全意識培訓和規則卻并未跟上??梢钥隙ǖ氖?,這對于任何企業(yè)的安全策略來(lái)說(shuō)都不是好苗頭。
    以下是企業(yè)上云過(guò)程中,常見(jiàn)的七個(gè)安全錯誤:
    1. 依賴(lài)虛擬專(zhuān)用網(wǎng)進(jìn)行遠程訪(fǎng)問(wèn)
    過(guò)去的一年已經(jīng)證明,虛擬專(zhuān)用網(wǎng)可能不是遠程訪(fǎng)問(wèn)的最佳答案,甚至頂尖的網(wǎng)絡(luò )安全公司也吃了大虧。2020年12月發(fā)生震驚整個(gè)網(wǎng)絡(luò )安全業(yè)界的FireEye黑客事件中,遭到入侵的虛擬專(zhuān)用網(wǎng)賬戶(hù)顯然是黑客竊取其工具的切入點(diǎn)。過(guò)去,虛擬專(zhuān)用網(wǎng)是保護遠程工作者安全的首選方法,但是大規模遠程辦公時(shí)代,虛擬專(zhuān)用網(wǎng)的安全性遠遠不如零信任架構,后者提供基于身份和上下文的持續訪(fǎng)問(wèn)控制。此外,安全主管還應確保自疫情大流行以來(lái)已經(jīng)制訂了基于家庭的信息安全策略,并將遠程辦公帶來(lái)的新的攻擊面(例如多用戶(hù)家用PC)考慮在內。
    2. 錯誤的云產(chǎn)品組合
    需要考慮的因素有很多,例如,您是否需要在私有云上運行關(guān)鍵業(yè)務(wù)數據,與其他云服務(wù)隔離開(kāi)?您是否有合適的操作系統子版本運行那些需要在特定配置的Windows和Linux中運行的應用程序?是否準備了正確的連接器和身份驗證保護,以與不上云的本地應用程序和設備一起運行?如果您有舊版大型機應用程序,則可能要先在私有云中運行它,然后嘗試找到最接近于現有大型機設置的正確的云環(huán)境。
    3. 安全狀況可能不適合上云
    常見(jiàn)的云安全錯誤包括不安全的存儲容器、訪(fǎng)問(wèn)權限、身份驗證參數設置不當,以及大量開(kāi)放端口。無(wú)論是從本地還是遠程進(jìn)行連接,企業(yè)都希望保持一致的安全狀態(tài)。因此在將單個(gè)應用程序遷移到云之前,應當從一開(kāi)始就將安全性問(wèn)題考慮進(jìn)去。強生公司幾年前就這樣做了,當時(shí)他們將大部分工作負載遷移到了云中,安全管理模型也隨之變成了集中式。一個(gè)可以參考的工具是Netflix剛剛發(fā)布的ConsoleMe開(kāi)源工具,該工具可以在一個(gè)瀏覽器會(huì )話(huà)中管理多個(gè)Amazon Web Services(AWS)賬戶(hù)。
    4. 沒(méi)有測試災難恢復計劃
    您上次測試災難恢復(DR)計劃是什么時(shí)候?應用程序在云中運行并不意味著(zhù)可以高枕無(wú)憂(yōu)。事實(shí)上這些應用程序仍然依賴(lài)特定的Web和數據庫服務(wù)器以及其他基礎架構組件。好的災難恢復計劃會(huì )記錄這些依賴(lài)關(guān)系,并為關(guān)鍵業(yè)務(wù)流程提供預案。
    災難恢復計劃的另一個(gè)重要部分是對云故障進(jìn)行連續測試。云計算也會(huì )宕機和拋錨,過(guò)去幾周內Google、亞馬遜、微軟、蘋(píng)果的云服務(wù)都遭遇了較為嚴重的業(yè)務(wù)中斷。幾年前,Netflix開(kāi)發(fā)的Chaos Monkey工具使整體混沌工程廣為流行,它旨在通過(guò)不斷(隨機)關(guān)閉各種生產(chǎn)服務(wù)器來(lái)測試公司的云基礎架構。
    企業(yè)可以基于這些工具和方法來(lái)開(kāi)發(fā)自己的混亂故障測試,尤其是與安全相關(guān)的測試,這些測試可以揭示云配置中的弱點(diǎn),通過(guò)自動(dòng)連續執行測試以發(fā)現基礎架構的瓶頸和缺陷。除了Netflix的開(kāi)源工具外,還有一些商業(yè)產(chǎn)品,例如Verodin/Mandiant的安全驗證,SafeBreach的Breach和Attack Simulation,Cymulate的仿真工具以及AttackIQ的Security Optimization Platform。
    5. 沒(méi)有為多數云產(chǎn)品組合優(yōu)化身份驗證
    企業(yè)上云之前可能已經(jīng)擁有身份和訪(fǎng)問(wèn)管理、SIEM、CASB或單點(diǎn)登錄工具,但這些工具在大多數云和遠程訪(fǎng)問(wèn)環(huán)境未必是最適合的身份驗證手段。企業(yè)需要仔細研究這些工具,確保它們可以適應涵蓋特定云環(huán)境和整個(gè)應用程序組合。例如,雖然CASB非常擅長(cháng)管理云應用訪(fǎng)問(wèn),但是您需要確保這個(gè)方案可以與內部自定義應用程序一起使用,可以進(jìn)行基于風(fēng)險的身份驗證的應用程序,可以保護您免受更復雜的混合云環(huán)境威脅。
    6. 過(guò)時(shí)的Active Directory
    Gartner的David Mahdi曾在演講中說(shuō):“在數據四處流動(dòng)的今天,身份是新的安全邊界。概括來(lái)說(shuō)就是必須是正確的人,在正確的時(shí)間、正確的地點(diǎn),以正確的理由,訪(fǎng)問(wèn)正確的資源。”可以肯定的是,企業(yè)的安全團隊還有很多事情要做。上云意味著(zhù),您的Active Directory(AD)可能無(wú)法反映現實(shí),包括當前(授權)用戶(hù)、應用程序和服務(wù)器列表。只有準確的信息,才能確保上云的過(guò)程平滑順暢。
    7. 羞于尋求專(zhuān)業(yè)幫助
    許多網(wǎng)絡(luò )安全廠(chǎng)商,例如托管安全服務(wù)提供商(MSSP)提供云遷移相關(guān)的安全咨詢(xún)和服務(wù),因此,不要羞于向他們尋求幫助。因為企業(yè)的IT團隊很可能因為急于將所有內容遷移到云中,留下了一些后門(mén)或引入了漏洞。
    【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng )文章,轉載請通過(guò)安全牛(微信公眾號id:gooann-sectv)獲取授權】


    相關(guān)文章

    我們很樂(lè )意傾聽(tīng)您的聲音!
    即刻與我們取得聯(lián)絡(luò )
    成為日后肩并肩合作的伙伴。

    行業(yè)資訊

    聯(lián)系我們

    13387904606

    地址:新余市仙女湖區仙女湖大道萬(wàn)商紅A2棟

    手機:13755589003
    QQ:122322500
    微信號:13755589003

    江西新余網(wǎng)站設計_小程序制作_OA系統開(kāi)發(fā)_企業(yè)ERP管理系統_app開(kāi)發(fā)-新余聯(lián)升網(wǎng)絡(luò )科技有限公司 贛ICP備19013599號-1   贛公網(wǎng)安備 36050202000267號   

    微信二維碼
    色噜噜狠狠一区二区三区果冻|欧美亚洲日本国产一区|国产精品无码在线观看|午夜视频在线观看一区|日韩少妇一区二区无码|伊人亚洲日韩欧美一区二区|国产在线码观看清码视频