專為數(shù)據(jù)中心設計的傳統(tǒng)安全工具是無法在云環(huán)境中正常運行的。根據(jù)安全管理人員的說法，這需要新的方法。本文講述了企業(yè)該如何在夾縫中生存。

  與眾多企業(yè)一樣，F(xiàn)enwick & West LLP的IT服務是通過內部部署、軟件即服務和云基礎設施的組合來提供的。這種情況極大地擴大了硅谷律師事務所面對安全挑戰(zhàn)的范圍，并迫使它采用新技術來填補傳統(tǒng)安全工具不再起作用的缺口。

  “當我們集成云和內部部署時，我們的安全問題已經(jīng)變得更大了，”Fenwick & West LLP的CIO Matt Kesner說，他們家公司主要為美國國內高科技企業(yè)和生命科學領域公司提供法律服務。

  “我們所擁有的所有安全技術與我們內部部署解決方案中的是一模一樣的，”他說?！暗?，我們也對專門為云開發(fā)的安全新技術進行了投資?！?

  Fenwick & West的應用經(jīng)驗在越來越多遭遇傳統(tǒng)安全障礙的企業(yè)中是極具代表性的，他們都在將工作負載遷移至云的同時還維護著他們內部IT基礎設施的部分。

  在2015年10月，SANS研究所發(fā)布了一份基于調查的報告《現(xiàn)代企業(yè)中動態(tài)數(shù)據(jù)中心與云計算安全狀態(tài)》，報告宣稱絕大多數(shù)企業(yè)的混合云服務應用只停留在計算表面。受訪的430名IT安全專業(yè)人士中的大部分人表示，他們的企業(yè)安全問題由于增加了私有、公共以及混合云服務而變得更為嚴峻起來。很多人表示他們的企業(yè)正在使用的傳統(tǒng)安全控制措施在云中無法正常工作或者根本不工???????。正如SANS分析師Dave Shackleford(他曾多次在信息安全雜志上撰文)在報告中所指出的：“在現(xiàn)代動態(tài)數(shù)據(jù)中心和云用中所缺失的關鍵性安全功能包括可見性、快速攻擊識別以及快速精確的自動化控制手段?！?

  以下是一些安全管理人員和分析師所提供的一些關鍵要點，可供用戶在集成原有安全系統(tǒng)和混合云服務時予以參考。

  舊的安全技術并不是消亡，但它們會演變。

  原有的安全技術都是為了保護企業(yè)內部部署應用程序和數(shù)據(jù)而設計開發(fā)的，它們一般都不適用于云的環(huán)境。但這并不意味著它們很快就會過時。一個很好的例子就是防火墻。

  無論是由內部部署還是云基礎設施提供的IT服務，用戶所需要的無非是保護他們的系統(tǒng)免受外部攻擊者的攻擊并分隔它們。

  20多年來，防火墻技術都在傳統(tǒng)內部部署數(shù)據(jù)中心環(huán)境中提供了這樣一種能力，最初是基于簽名的系統(tǒng)，而最近的則是下一代異常檢測系統(tǒng)。

  我們希望這項技術不僅能夠在傳統(tǒng)數(shù)據(jù)中心內發(fā)揮重要作用，而且在云計算中也能游刃有余。

  “主流防火墻供應商們的防火墻產(chǎn)品出貨量并未有所降低，”SANS研究所新興威脅總監(jiān)John Pescatore說。

  與硬件設施最大的不同之處在于，在云中防火墻功能是通過軟件提供的。雖然隨著越來越多的企業(yè)和應用程序轉向使用混合云服務，對于物理設施的需求可能會減弱，但是對于銷售虛擬防火墻或者類似防火墻的過濾和阻止功能的供應商需求將有所擴大。

  用戶可以使用主流云供應商所提供安全措施以取代防火墻的說法就是一個神話：“基礎設施永遠不會自己來保護用戶。用戶仍然需要防火墻，但是它們的交付和管理方式都是不同的，”Pescatore說。一般來說，防病毒和反惡意軟件工具也是如此，他補充說。

  防火墻和虛擬專用網(wǎng)絡(VPN)是安全措施由于采用云而可能變更交付機制的顯著候選技術。其他技術包括入侵檢測和預防系統(tǒng)、基于網(wǎng)絡的反惡意軟件工具和一些數(shù)據(jù)泄露防護功能。但是，對著這些工具交付功能的需求將保持不變，Pescatore說。

  “很難說原有技術已經(jīng)過時，”IDC安全研究副總裁Pete Lindstrom說。“這只是一個原有工具的進化?！?

  越來越多的傳統(tǒng)安全技術將從單一的企業(yè)模式轉變?yōu)橥ㄟ^云計算發(fā)布的高度分布式服務，Lindstrom說。很多安全技術都將進入云，并成為虛擬化層的一部分。

  只有所有一切都已遷移至云，用戶才可能需要更多而不是更少的安全控制措施。

  使用云服務將讓企業(yè)用戶更難以保持企業(yè)中正在進行的一切。

  “總體而言，我們并沒有看到簡化的安全措施，”Kesner說。

  當用戶的全部工作負載都在內部部署中，并且圍繞用戶應用程序和基礎設施布置周邊設施時，我們很容易就能看到流出流入企業(yè)的所有數(shù)據(jù)流，并明確誰何時何地如何訪問了什么。

  當用戶的數(shù)據(jù)和應用程序是部分在內部部署部分在云中時，這個任務變得更加復雜了，因為人們是從PC和移動設施從防火墻后和從外部對它們進行訪問的。

  “事實上有著我們用戶為業(yè)務創(chuàng)建的大量數(shù)據(jù)，而他們將這些數(shù)據(jù)作為IT組進行訪問，我們只是看不到而已，”Kesner說。

  傳統(tǒng)的安全工具是無法實現(xiàn)這種可見性的。目前，微軟企業(yè)系統(tǒng)可認證對Fenwich & West托管的所有應用程序的訪問。但是，它不會讓用戶登錄到公司的Salesforce數(shù)據(jù)庫或者其基于云的人力資源系統(tǒng)。

  這家律師事務所被迫尋找其他的可用技術。

  Kesner的策略就是在云中實施單點登陸功能，以此作為一種獲得對用戶使用企業(yè)應用程序和數(shù)據(jù)做了些什么更多了解的方法?！拔覀兛吹胶喕覀儼踩軜嫷奈ㄒ环椒ň褪菍⑽覀兊纳矸蒡炞C架構遷移至云之中。這一舉措將支持內部部署和云，從而擴大了我們?yōu)樽罱K用戶所提供的服務范疇?！?

  Fenwick & West的CIO正在尋求為公司的云應用使用新的登陸功能，補充其基于云的認證功能，這將從Salesforce開始。這家律師事務所也正在評估幾家初創(chuàng)企業(yè)所提供的技術，以便應用于針對云應用訪問的防火墻和VPN功能實施中?！拔覀兛吹降囊磺卸际浅錆M了滿滿的希望，”Kesner說。

  與Fenwick & West一樣,大多數(shù)使用內部部署和混合云服務組合的企業(yè)將需要更多(而不是更少)的工具用于安全性管理。根據(jù)SANS報告稱，企業(yè)用戶往往更傾向于在數(shù)據(jù)中心內使用防火墻、入侵防御和檢測系統(tǒng)(IPS/IDS)以及服務器與應用程序監(jiān)控工具，但是此類工具在云計算環(huán)境中的使用率是極具減少的。只有約三分之一的IT安全專業(yè)人士表示，他們的企業(yè)使用了基于云的防火墻。而???????乎所有受訪者(96%)都表示在內部部署中使用了安全技術。類似地，只有29%的受訪者表示他們的企業(yè)在云計算環(huán)境中使用了IPS/IDS，而僅有28%使用了服務器與應用程序監(jiān)控工具。相比之下，分別由83%和77%的受訪者在內部部署數(shù)據(jù)中心內使用了這些工具。

  據(jù)SANS稱，由于云相對缺乏安全技術和戰(zhàn)略思考，這種情況是有相當大問題的，因為它使企業(yè)直接面臨著嚴重的安全風險。

  用戶所需安全控制措施的類型取決于云模式。

  用戶現(xiàn)有安全控制措施的有效性和在云環(huán)境中的需求在很大程度上取決于用戶所使用的云模式，Viewpost的執(zhí)行副總裁、總法律顧問兼首席安全官Christopher Pierson指出，Viewpost是一家總部位于佛羅里達州Maitland的在線支付和發(fā)票服務供應商?！盎A設施即服務環(huán)境幾乎需要傳統(tǒng)數(shù)據(jù)中心中所需要的所有相同控制措施，”他說?！叭魏斡锌赡軐﹃P鍵數(shù)據(jù)造成風險的威脅都需要實施安全控制措施?！?

  在使用平臺即服務(PaaS)模式中，了解安全模式是挑戰(zhàn)的一部分，Pierson說。

  “在PaaS環(huán)境中，大多數(shù)的安全性問題都成為了SecOps團隊審查和訪問的對象，而不是由該團隊開發(fā)和維護，”他說?！坝捎谄髽I(yè)用戶實際上只是擁有著數(shù)據(jù)層和應用程序層，所以類似于IPS/IDS和DDoS(分布式拒絕服務)之類的緩解措施也不是由企業(yè)來管理的?！?

  因為在PaaS模式中內部部署是沒有真正主機的，所以對于內部防病毒和反惡意軟件功能與技術的需求就更少了。甚至諸如防火墻之類的技術就能夠作為云計算服務，或者當所有東西都是從云中交付時就可完全刪除此類功能。

  “所有企業(yè)都在重點關注的無非就是他們所開發(fā)的應用程序、安全代碼實踐以及底層數(shù)據(jù)加密，”Pierson說。訪問、加密以及相關技術(例如用于管理密鑰的硬件安全模塊)都是企業(yè)用戶需要應對和管理的主要控制措施。

  安全供應商將需要開發(fā)出云應用環(huán)境下的產(chǎn)品。

  SANS稱，云應用和特定云服務供應商管理程序缺乏專用選項和虛擬化設施是企業(yè)用戶所面臨的挑戰(zhàn)?！爸T如防火墻、入侵檢測/防御平臺之類的基礎網(wǎng)絡安全技術在公共云中有著明顯更低的使用率，”去年十月報告稱，其部分原因是供應商缺少對這些技術的支持。

  為了做到這一點，SANS的Pescatore說，數(shù)據(jù)中心安全技術廠商們需要針對云環(huán)境開發(fā)他們的產(chǎn)品。在短期內，技術供應商們可能會在他們的產(chǎn)品中增加基于云的交付功能，同時維持他們的數(shù)據(jù)中心產(chǎn)品。隨著時間的推移，當越來越多的傳統(tǒng)安全應用程序遷往云，供應商們可能也會開始完全地從云交付他們的功能。他指出，對企業(yè)來說至關重要的幾個安全功能將也會通過這一方式提供并從中受益。

  例如，企業(yè)用于掃描其應用程序和網(wǎng)絡的眾多漏洞掃描技術將在云環(huán)境中無法正常工作。所以，開發(fā)一個能夠審查企業(yè)云基礎設施并提供諸如虛擬機、防火墻配置等信息和訪問控制列表的虛擬掃描器將可能產(chǎn)生巨大差異。

  類似地，擁有一個可用于亞馬遜網(wǎng)絡服務、微軟Azure和其他云環(huán)境的網(wǎng)絡安全網(wǎng)關將為企業(yè)用戶提供一個針對云托管應用程序和數(shù)據(jù)進行流量過濾和執(zhí)行安全策略的方法。

  另一個能夠從云應用中獲益的領域就是取證，Pescatore補充道。數(shù)據(jù)中心取證工具在查找存儲在屬于第三方服務供應商的硬盤驅動器上的數(shù)據(jù)方面是幾乎無能為力的。需要擁有在云環(huán)境中進行事件審查和數(shù)據(jù)查找能力的企業(yè)必須擁有具有相關功能的工具。