盡管影子云威脅著企業(yè)安全，我們?nèi)匀挥蟹椒▉斫档惋L險并保護企業(yè)的系統(tǒng)和應用。

隨著云計算、工作場所的BYOD以及消費電子設備的增加，對于IT部門來說要追蹤和管理軟件和硬件，并且同時要維護和保證一個環(huán)境的安全性變得越發(fā)困難。沒有IT直接干預或者IT對此毫不知情的那些員工使用的系統(tǒng)和應用被稱為影子IT。

云安全聯(lián)盟的2014云應用實踐和優(yōu)先級調(diào)查強調(diào)了企業(yè)缺乏對影子云應用和服務控制的這一趨勢正在增長，并且這其中有很大比例的企業(yè)甚至沒有一個程序在那里管理這些應用和服務。我們知道這種狀況已經(jīng)有一段時間了，McAfee(Intel Security)在2013年也開展了一個關(guān)于企業(yè)“影子軟件即服務(SaaS)”的調(diào)查，發(fā)現(xiàn)受訪者或者壓根沒有任何與SaaS應用使用相關(guān)的策略，或者根本不知道什么是自己不知道的。

影子云中潛在的威脅

影子云服務和資產(chǎn)可以導致很多問題和風險，包括：

時間、能源和投資的浪費：影子云容易導致傳統(tǒng)IT在時間、能源和投資上的浪費。如果員工使用未經(jīng)批準的技術(shù)，浪費的會包括在核準的技術(shù)上的培訓，不觸及影子云的安全技術(shù)策略，審計和調(diào)查的不夠精確或者有效，由于未批準的技術(shù)而造成的事件及響應，所需的幫助臺和支持，以及繞過技術(shù)/安全控制等所有這些所花費的功夫。

低效：一個被影子云嚴重影響但卻經(jīng)常被忽視的領域是流程開展和執(zhí)行。對于正在努力開展和提高運營流程成熟度的組織，影子云將成為一個巨大的障礙。影子云可導致審計及審計有效性，庫存和配置管理流程和實踐，補丁和漏洞管理方案，整體流程效率的舉措，如六西格瑪，以及IT運營流程效率的低下。

數(shù)據(jù)丟失或泄漏：影子云容易造成數(shù)據(jù)的丟失或者泄露。當員工非法使用如Dropbox或其他的云服務來存儲敏感數(shù)據(jù)時，數(shù)據(jù)正在被存儲在組織外，并可能被暴露在一次云提供商的泄漏事件中。存儲在云中的任何數(shù)據(jù)或系統(tǒng)都易于成為對云提供商或其他租戶發(fā)起的攻擊對象。

未知漏洞：當系統(tǒng)和應用在未知的情況下被部署，他們沒有在系統(tǒng)或者任何應用程序清單中列出，很有可能沒有滿足配置和補丁管理的要求。影子云資產(chǎn)和應用還易于成為那些已經(jīng)發(fā)布的但沒有被IT人員監(jiān)控的漏洞的受害者，或者受到那些還沒有任何補丁或者修復的零日漏洞的影響。任何這些問題都可能導致潛在的風險提高，并且一個組織可能因為脆弱的影子云系統(tǒng)和應用程序的存在而使整個組織的風險狀況變得嚴重傾斜。

未知攻擊目標：與未知的漏洞相似，此類別側(cè)重于缺乏可靠的系統(tǒng)和數(shù)據(jù)清單。被清單遺漏的系統(tǒng)會很自然的成為攻擊的對象，特別是云服務，很容易幫助攻擊面擴大到一個很廣的范圍。

揭開影子云的迷霧

盡管有很多與影子云相關(guān)的風險，安全團隊可以使用一些策略來處理這些問題。組織可以采取的一些減輕風險的重要步驟包括：

策略和指導：安全策略必須要更精細，一方面受到業(yè)務流程的驅(qū)使，另一方面因為風險的關(guān)系。CISO必須向業(yè)務經(jīng)理解釋基于風險的精細安全策略和對云實施的加強。反過來，業(yè)務經(jīng)理在想要使用云服務的時候需要讓安全團隊了解業(yè)務流程應該如何和不應該如何運作。在策略上解決允許和禁止云服務的使用是控制影子云的第一步。

監(jiān)控和訪問限制：監(jiān)控進入云端的數(shù)據(jù)和流量對于檢測影子云的使用是很重要的。對內(nèi)網(wǎng)，系統(tǒng)和數(shù)據(jù)的訪問限制也會對識別未知系統(tǒng)和應用有所幫助。一個好的出發(fā)點是對互聯(lián)網(wǎng)進行內(nèi)容過濾(URL 過濾) �，F(xiàn)在有Skyhigh Networks和Netskope這樣的廠商提供的特定云的內(nèi)容和應用程序過濾，可以很方便的幫助監(jiān)測和防止影子云的使用。即便一個組織選擇不完全限制訪問，監(jiān)控和記錄日志可以幫助確定哪些正在被使用。在此基礎上可以產(chǎn)生決策以及對風險進行優(yōu)先級規(guī)劃。

基礎架構(gòu)控制：象防火墻規(guī)則、子網(wǎng)劃分、VLAN和ACL這樣的基本控制可以很有幫助。強化的系統(tǒng)配置，掃描和打補丁可以有助于在已知的云環(huán)境里防止未授權(quán)應用的安裝。

影子云突顯了其他業(yè)務需求

要整治影子云的使用可以是一個漫長而艱難的過程，這已經(jīng)不是什么秘密。通常情況下，影子云標志著政治問題或業(yè)務需求差距需要在一個組織里得到解決，而盡可能提供更安全的選擇恰恰是信息安全所要做到的。幸運的是，有無數(shù)的工具和技術(shù)，可以對此提供幫助。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎知識，讓我們一起攜手，引領人工智能的未來！

標簽： 安全 大數(shù)據(jù) 防火墻 互聯(lián)網(wǎng) 漏洞 信息安全 云服務 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。