尽管影子云威胁着企业安全,我们仍然有方法来降低风险并保护企业的系统和应用。
随着云计算、工作场所的BYOD以及消费电子设备的增加,对于IT部门来说要追踪和管理软件和硬件,并且同时要维护和保证一个环境的安全性变得越发困难。没有IT直接干预或者IT对此毫不知情的那些员工使用的系统和应用被称为影子IT。
云安全联盟的2014云应用实践和优先级调查强调了企业缺乏对影子云应用和服务控制的这一趋势正在增长,并且这其中有很大比例的企业甚至没有一个程序在那里管理这些应用和服务。我们知道这种状况已经有一段时间了,McAfee(Intel Security)在2013年也开展了一个关于企业“影子软件即服务(SaaS)”的调查,发现受访者或者压根没有任何与SaaS应用使用相关的策略,或者根本不知道什么是自己不知道的。
影子云中潜在的威胁
影子云服务和资产可以导致很多问题和风险,包括:
时间、能源和投资的浪费:影子云容易导致传统IT在时间、能源和投资上的浪费。如果员工使用未经批准的技术,浪费的会包括在核准的技术上的培训,不触及影子云的安全技术策略,审计和调查的不够精确或者有效,由于未批准的技术而造成的事件及响应,所需的帮助台和支持,以及绕过技术/安全控制等所有这些所花费的功夫。
低效:一个被影子云严重影响但却经常被忽视的领域是流程开展和执行。对于正在努力开展和提高运营流程成熟度的组织,影子云将成为一个巨大的障碍。影子云可导致审计及审计有效性,库存和配置管理流程和实践,补丁和漏洞管理方案,整体流程效率的举措,如六西格玛,以及IT运营流程效率的低下。
数据丢失或泄漏:影子云容易造成数据的丢失或者泄露。当员工非法使用如Dropbox或其他的云服务来存储敏感数据时,数据正在被存储在组织外,并可能被暴露在一次云提供商的泄漏事件中。存储在云中的任何数据或系统都易于成为对云提供商或其他租户发起的攻击对象。
未知漏洞:当系统和应用在未知的情况下被部署,他们没有在系统或者任何应用程序清单中列出,很有可能没有满足配置和补丁管理的要求。影子云资产和应用还易于成为那些已经发布的但没有被IT人员监控的漏洞的受害者,或者受到那些还没有任何补丁或者修复的零日漏洞的影响。任何这些问题都可能导致潜在的风险提高,并且一个组织可能因为脆弱的影子云系统和应用程序的存在而使整个组织的风险状况变得严重倾斜。
未知攻击目标:与未知的漏洞相似,此类别侧重于缺乏可靠的系统和数据清单。被清单遗漏的系统会很自然的成为攻击的对象,特别是云服务,很容易帮助攻击面扩大到一个很广的范围。
揭开影子云的迷雾
尽管有很多与影子云相关的风险,安全团队可以使用一些策略来处理这些问题。组织可以采取的一些减轻风险的重要步骤包括:
策略和指导:安全策略必须要更精细,一方面受到业务流程的驱使,另一方面因为风险的关系。CISO必须向业务经理解释基于风险的精细安全策略和对云实施的加强。反过来,业务经理在想要使用云服务的时候需要让安全团队了解业务流程应该如何和不应该如何运作。在策略上解决允许和禁止云服务的使用是控制影子云的第一步。
监控和访问限制:监控进入云端的数据和流量对于检测影子云的使用是很重要的。对内网,系统和数据的访问限制也会对识别未知系统和应用有所帮助。一个好的出发点是对互联网进行内容过滤(URL 过滤) 。现在有Skyhigh Networks和Netskope这样的厂商提供的特定云的内容和应用程序过滤,可以很方便的帮助监测和防止影子云的使用。即便一个组织选择不完全限制访问,监控和记录日志可以帮助确定哪些正在被使用。在此基础上可以产生决策以及对风险进行优先级规划。
基础架构控制:象防火墙规则、子网划分、VLAN和ACL这样的基本控制可以很有帮助。强化的系统配置,扫描和打补丁可以有助于在已知的云环境里防止未授权应用的安装。
影子云突显了其他业务需求
要整治影子云的使用可以是一个漫长而艰难的过程,这已经不是什么秘密。通常情况下,影子云标志着政治问题或业务需求差距需要在一个组织里得到解决,而尽可能提供更安全的选择恰恰是信息安全所要做到的。幸运的是,有无数的工具和技术,可以对此提供帮助。
本文作者:谈翔
来源:51CTO
