急于采用托管基礎(chǔ)設(shè)施以及內(nèi)部部署系統(tǒng)的企業(yè)可能無(wú)法完全理解或解決潛在的安全威脅。

創(chuàng)新互聯(lián)公司從2013年開(kāi)始，是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元景洪做網(wǎng)站,已為上家服務(wù),為景洪各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話(huà):13518219792

隨著越來(lái)越多地采用，企業(yè)也遇到了各種新的潛在威脅，這些威脅來(lái)自于各種基于技術(shù)的快速且頻繁的部署。安全咨詢(xún)機(jī)構(gòu)Trimarc公司創(chuàng)始人Sean Metcalf表示，企業(yè)對(duì)混合云技術(shù)的采用尤其關(guān)注。

混合云是內(nèi)部部署基礎(chǔ)設(shè)施與云計(jì)算托管基礎(chǔ)設(shè)施和服務(wù)的結(jié)合。IaaS提供商通常是云計(jì)算行業(yè)(例如AWS、微軟Azure或谷歌云)。Metcalf表示，企業(yè)將內(nèi)部部署數(shù)據(jù)中心擴(kuò)展到中，基本上意味著云平臺(tái)可以作為VMware或Microsoft Hyper V等有效運(yùn)行。

由于這種有效的虛擬化，與這些數(shù)據(jù)中心元素相關(guān)的任何攻擊都類(lèi)似于對(duì)VMware和Hyper V的攻擊方式，但是這些可能是由Microsoft、AWS，或者是谷歌云托管的。

這些托管巨頭的托管基礎(chǔ)設(shè)施都有不同的功能和配置，這使得保護(hù)這些基礎(chǔ)設(shè)施的安全對(duì)企業(yè)來(lái)說(shuō)更加復(fù)雜。這些復(fù)雜性對(duì)于大型組織尤其如此，因?yàn)榇笮徒M織通常具有跨多個(gè)服務(wù)器安裝的虛擬機(jī)(VM)實(shí)例。Metcalf表示，采用多個(gè)提供商的服務(wù)對(duì)于企業(yè)來(lái)說(shuō)很常見(jiàn)，因?yàn)槿魏稳硕伎梢宰?cè)云訂閱或云帳戶(hù)，這意味著企業(yè)的業(yè)務(wù)部門(mén)都可以設(shè)置自己的訂閱或帳戶(hù)和租戶(hù)。

當(dāng)將混合云的其他選擇(例如Salesforce或Workday或Office 365)考慮在內(nèi)時(shí)，其面臨的挑戰(zhàn)會(huì)越來(lái)越多。這些元素中的每一個(gè)都有自己的要求，并使用在內(nèi)部部署環(huán)境中配置的同步工具。來(lái)自?xún)?nèi)部部署基礎(chǔ)設(shè)施(通常是Active Directory)的大量信息通常是出現(xiàn)在環(huán)境中，Active Directory是Windows域網(wǎng)絡(luò)的目錄服務(wù)。

Metcalf說(shuō)：“其存在挑戰(zhàn)是有道理的，但這些連接點(diǎn)往往有一些有趣的安全權(quán)衡，這些權(quán)衡往往不太常見(jiàn)或沒(méi)有被很好地理解?！崩?，網(wǎng)絡(luò)攻擊者可能會(huì)從Active Directory危害到域控制器，而域控制器是托管Active Directory身份和身份驗(yàn)證系統(tǒng)的服務(wù)器。這成為網(wǎng)絡(luò)攻擊者的主要攻擊目標(biāo)。

急于采用需要強(qiáng)調(diào)IT團(tuán)隊(duì)的安全性

組織急于向云遷移增加了IT團(tuán)隊(duì)的安全負(fù)擔(dān)。Metcalf說(shuō)：“在通常情況下，組織的運(yùn)營(yíng)團(tuán)隊(duì)和安全團(tuán)隊(duì)都會(huì)被這種方法拖累。業(yè)務(wù)主管表示，這就是他們前進(jìn)的方向?！?/p>

混合云環(huán)境中的另一個(gè)大問(wèn)題是身份和訪(fǎng)問(wèn)管理(IAM)，要保障用戶(hù)只能訪(fǎng)問(wèn)他們應(yīng)該訪(fǎng)問(wèn)的那些系統(tǒng)元素，即使在好的情況下，這對(duì)企業(yè)也是一個(gè)長(zhǎng)期的挑戰(zhàn)。Metcalf說(shuō)：“人們通常沒(méi)有意識(shí)到的另一件事是，無(wú)論是誰(shuí)在提供商那里創(chuàng)建租戶(hù)、訂閱或帳戶(hù)，都會(huì)保留管理員權(quán)限。當(dāng)他們?cè)诨旌显骗h(huán)境中運(yùn)行所有負(fù)載時(shí)，服務(wù)器管理員通常會(huì)獲得所有內(nèi)容的完全權(quán)限。AWS、Azure和谷歌云平臺(tái)各自以不同的方式管理訪(fǎng)問(wèn)角色，因此很多組織通常急于讓它完成，因?yàn)樾枰瓿傻臅r(shí)間表。這樣做有可能出錯(cuò)，因?yàn)檫@些角色通常會(huì)被過(guò)度授權(quán)?！?/p>

技術(shù)團(tuán)隊(duì)需要支持以了解混合云

除了這些潛在的安全隱患之外，很少有人真正了解環(huán)境。Metcalf說(shuō)：“當(dāng)人們談?wù)摷夹g(shù)，并計(jì)劃轉(zhuǎn)移到云平臺(tái)時(shí)，這是一件很復(fù)雜的事情，因?yàn)閷?duì)很多人來(lái)說(shuō)都是新事物，并且每周或每月都會(huì)改變。跟上其變化是一項(xiàng)很廣泛的工作，但至少是可以做到的。”

因此，Metcalf建議企業(yè)保障員工、技術(shù)人員(包括運(yùn)營(yíng)和安全人員)獲得他們所需的支持，以更好地了解環(huán)境。Metcalf建議，在提供這一支持的同時(shí)，保障所有管理員帳戶(hù)都通過(guò)提供商配置了多因素身份驗(yàn)證或任何相關(guān)系統(tǒng)。他指出，在2019年收集的數(shù)據(jù)表明，不到8%的管理員使用多因素身份驗(yàn)證進(jìn)行云訪(fǎng)問(wèn)。如果不可用，要求供應(yīng)商使其可用，因?yàn)檫@是減輕網(wǎng)絡(luò)攻擊者控制該帳戶(hù)可能性的好方法。

讓管理脫離生產(chǎn)工作站

另一個(gè)關(guān)鍵建議是，保障環(huán)境中的用戶(hù)工作站不會(huì)執(zhí)行管理活動(dòng)或任務(wù)。這樣一來(lái)，網(wǎng)絡(luò)攻擊者就更難于提取或破壞用于組建管理部門(mén)的身份。大多數(shù)組織中配置的典型工作站都沒(méi)有得到足夠好的保護(hù)，以防止網(wǎng)絡(luò)攻擊者進(jìn)行破壞。組織須保障這些特權(quán)憑證受到良好的保護(hù)，并且與用戶(hù)在系統(tǒng)上進(jìn)行活動(dòng)的正常方式隔離開(kāi)來(lái)。

的管理通常涉及Web瀏覽器。Metcalfe說(shuō)，“我們知道Web瀏覽器并不是大多數(shù)系統(tǒng)上安全的應(yīng)用程序。但是，管理員通常會(huì)使用這些Web門(mén)戶(hù)，這意味著他們很可能只是在打開(kāi)Firefox或Chrome并進(jìn)行管理，這有很大的風(fēng)險(xiǎn)。”

盡管混合云環(huán)境中的大多數(shù)風(fēng)險(xiǎn)來(lái)自組織面臨的復(fù)雜技術(shù)挑戰(zhàn)，但提供商本身無(wú)法免受安全風(fēng)險(xiǎn)的影響。Metcalf在評(píng)估為三大提供商(AWS、微軟和谷歌)審查托管的活動(dòng)目錄環(huán)境時(shí)，發(fā)現(xiàn)其中一家提供商的活動(dòng)目錄環(huán)境存在漏洞，而這家供應(yīng)商正在對(duì)其進(jìn)行修復(fù)。

最后，不斷變化的環(huán)境要求組織不斷努力以阻止惡意行為者。Metcalfe說(shuō)，“從安全角度來(lái)看，關(guān)于的一件有趣的事情是，客戶(hù)通常并不知道增加的新功能，但網(wǎng)絡(luò)攻擊者很可能是一個(gè)發(fā)現(xiàn)并開(kāi)始利用它的人?！?/p>
本文題目：專(zhuān)家表示混合云復(fù)雜性以及急于采用會(huì)帶來(lái)安全
網(wǎng)站網(wǎng)址：http://weahome.cn/article/dgedd.html