关于云安全战略的五大贴士云和虚拟化
尽管如此,仍然有很多机构正在考虑“云优先”战略的相关条款,包括美国联邦政府。而对于正在寻找有关云安全的指导的读者们,我们将在本文中为您介绍来自本次研讨会的专家小组成员们所给出的如何在与AWS或任何类似的服务提供商合作之前,尽量减少安全风险的五大提示。
1、慢慢来,不要操之过急。充分利用免费清单、风险评估方法和相关可用的信息以充分了解云计算的安全。马萨诸塞州伯灵顿的一家软件即服务安全提供商Veracode公司的联合创始人兼首席技术官Chris Wysopal建议企业可以从云安全联盟开始。“云计算是一个新的基础设施,企业必须了解如何安全地使用它。”他说。“企业不能像使用所有传统安全技术那样来使用云计算,所以,必须对如何正确使用云计算进行很多的自我教育工作。”
2、定制你的合同。通过提前考虑应该怎样制定服务协议以便未雨绸缪。例如,你的云服务提供商将如何应对分布式拒绝服务(DDoS)攻击?很多时候,这一问题都被忽视了。马萨诸塞州韦克菲尔德市场营销公司Epsilon的首席信息安全官Chris Ray说,“确保你企业的相关具体需求都在你的合同中有相应的规定。 ”
3、将企业的工作日志集中在一处。专家指出,将企业所有的工作都汇集日志到一个中心位置是拥有多个网络主机相互作用的企业的最佳实践方案。“最重要的第一规则是:始终确保对数据信息的掌控。”马萨诸塞州沃尔瑟姆终端和服务器的安全提供商Bit9的首席安全官Nick Levay表示。
4、保护主机。花更多的时间专注于您企业的主机,而非网络的安全措施,因为“企业对于网络不太可能进行尽可能多的控制。”Wysopal说。他推荐采用基于主机的入侵检测系统如Threat Stack或Tripwire “作为了解在主机层发生了什么的一种方法。”
5、寻求服务验证。“始终通过寻找第三方来为您的服务提供商提供担保。”Wysopal说。一种方法是询问其是否有SOC 3(Service Organization Control)报告,或者最好是SOC 2报告。该文件报告来自看重安全,可用性,完整性,处理进程及企业内部的保密或隐私控制的第三方的审计师。SOC 3和SOC 2 的报告涵盖相同的内容,但SOC 2的报告内容更详细。
为什么信任AWS
当Wysopal谈到AWS时,他表示:“AWS可以让企业觉得其和自己企业内部的数据中心同样安全。”他对于这一评论会招到质疑并不惊讶。所以,他才提出了为什么信任云服务提供商的这样一个问题,他从企业中的人的因素开始谈论这一问题。
“我们已经与AWS的安全团队建立起了很好的关系,我对他们很有信心。”他说。在谈到AWS时,Wysopal强调了其安全运营中心、网络运营中心的安全保障,其具有集中监测安全问题和网络性能的中心。这样的一个措施包括“访问任何基础设施”和任何人访问信息都随时要求严格的授权,并随时有人做日志信息记录。但许多托管服务提供商并不这样做,他说。
对于坚定的骨灰级云怀疑论者, Wysopal建议他们了解AWS的联邦风险评估项目(Federal Risk and Authorization Management Program, FedRAMP)。FedRAMP兼容的云服务供应商如AWS必须要首先达到由联邦政府制定的保障措施的标准才能负责托管政府的数据。
“这样的造价更昂贵。”Wysopal说,“但是您仍然可以享受到弹性的基础设施的好处。”
DDoS攻击事件有上升上升的趋势
如果您看到DDoS攻击事件正在上升,使得带宽或其他系统资源变得不可用,其实您并不是一个人在战斗。”造成DDoS攻击事件增长的部分原因是您企业相关工具包的增加,这些工具包使得DDoS攻击更容易了。”加利福尼亚州圣克拉拉网络控制供应商Infoblox公司的首席基础设施官Cricket Liu说。“如果你仍有足够的比特币,你可以在线完全匿名的订购一个大的DDoS攻击某个网站。”
其要归咎于僵尸网络基础设施的鲁棒性(和增长),由不知情的电脑发送病毒或垃圾邮件,太多的递归域名服务器和太多脆弱的网络时间协议服务器同步被打开,使得很容易聚集其大量的流量。他说。
下一代的防火墙
当Bit9的Levay提到Palo Alto Networks时,表示该公司同时也是下一代防火墙制造商,他说道。“关于新一代防火墙有许多的定义,而其中一种定义便是一款大的应用。”他说。在过去,网络流量的可视化几乎是不存在的。“所有都是端口80和端口443。”Levay说,指的是默认的HTTP和HTTPS端口。
另一方面,Palo Alto 则认为:“可以将不同的Web应用程序视作在不同位置的单独的应用程序。 ”因此,其可以被分化,比如说,从Facebook的流量到网上银行网站的流量。
“ Palo Alto分析得甚至比这更深。”他们具体识别Facebook的浏览,聊天或图片上传流量,他说。所以,他的公司可以有效的屏蔽阻止员工在工作中上传他们最新的度假照片到社交网络,他说。
未来的多因素身份验证
Gmail可以为其数以千万计的用户提供双因素身份验证,“这可以很容易地进行扩展和大规模采用。“Wysopal说。但其实这远远不够。
据Levay介绍说,那些大型企业却不这么认为。 “高端的认证是基于他们已经掌握的东西进行验证的,他们已经知道用户是如何访问的。”他说。这可能意味着对PIN码,网站密码和设备的IP地址的掌握。 “这是非常有效的,但做起来并不容易。 ” Levay说。
而且可能也并不具备实操性。 “每家企业都有一个风险承受能力。”他补充说,多因素身份验证不会在他的公司执行。 “我所在的企业价值观是每位员工都能够迅速地做好本职工作,所以相关的身份验证必须要在他们会接受的范围内进行。 ”