隨著云計(jì)算�、工作場(chǎng)所的BYOD以及消費(fèi)電子設(shè)備的增加����,對(duì)于IT部門(mén)來(lái)說(shuō)要追蹤和管理軟件和硬件����,并且同時(shí)要維護(hù)和保證一個(gè)環(huán)境的安全性變得越發(fā)困難����。沒(méi)有IT直接干預(yù)或者IT對(duì)此毫不知情的那些員工使用的系統(tǒng)和應(yīng)用被稱(chēng)為影子IT。
盡管影子云威脅著企業(yè)安全����,我們?nèi)匀挥蟹椒▉?lái)降低風(fēng)險(xiǎn)并保護(hù)企業(yè)的系統(tǒng)和應(yīng)用。
隨著云計(jì)算�����、工作場(chǎng)所的BYOD以及消費(fèi)電子設(shè)備的增加����,對(duì)于IT部門(mén)來(lái)說(shuō)要追蹤和管理軟件和硬件,并且同時(shí)要維護(hù)和保證一個(gè)環(huán)境的安全性變得越發(fā)困難�����。沒(méi)有IT直接干預(yù)或者IT對(duì)此毫不知情的那些員工使用的系統(tǒng)和應(yīng)用被稱(chēng)為影子IT���。
云安全聯(lián)盟的2014云應(yīng)用實(shí)踐和優(yōu)先級(jí)調(diào)查強(qiáng)調(diào)了企業(yè)缺乏對(duì)影子云應(yīng)用和服務(wù)控制的這一趨勢(shì)正在增長(zhǎng)�����,并且這其中有很大比例的企業(yè)甚至沒(méi)有一個(gè)程序在那里管理這些應(yīng)用和服務(wù)��。我們知道這種狀況已經(jīng)有一段時(shí)間了�����,McAfee(Intel Security)在2013年也開(kāi)展了一個(gè)關(guān)于企業(yè)“影子軟件即服務(wù)(SaaS)”的調(diào)查��,發(fā)現(xiàn)受訪者或者壓根沒(méi)有任何與SaaS應(yīng)用使用相關(guān)的策略����,或者根本不知道什么是自己不知道的。
影子云中潛在的威脅
影子云服務(wù)和資產(chǎn)可以導(dǎo)致很多問(wèn)題和風(fēng)險(xiǎn)�����,包括:
時(shí)間���、能源和投資的浪費(fèi):影子云容易導(dǎo)致傳統(tǒng)IT在時(shí)間�����、能源和投資上的浪費(fèi)。如果員工使用未經(jīng)批準(zhǔn)的技術(shù)����,浪費(fèi)的會(huì)包括在核準(zhǔn)的技術(shù)上的培訓(xùn)�����,不觸及影子云的安全技術(shù)策略�,審計(jì)和調(diào)查的不夠精確或者有效�����,由于未批準(zhǔn)的技術(shù)而造成的事件及響應(yīng)��,所需的幫助臺(tái)和支持��,以及繞過(guò)技術(shù)/安全控制等所有這些所花費(fèi)的功夫�。
低效:一個(gè)被影子云嚴(yán)重影響但卻經(jīng)常被忽視的領(lǐng)域是流程開(kāi)展和執(zhí)行。對(duì)于正在努力開(kāi)展和提高運(yùn)營(yíng)流程成熟度的組織���,影子云將成為一個(gè)巨大的障礙����。影子云可導(dǎo)致審計(jì)及審計(jì)有效性�����,庫(kù)存和配置管理流程和實(shí)踐,補(bǔ)丁和漏洞管理方案����,整體流程效率的舉措,如六西格瑪����,以及IT運(yùn)營(yíng)流程效率的低下。
數(shù)據(jù)丟失或泄漏:影子云容易造成數(shù)據(jù)的丟失或者泄露��。當(dāng)員工非法使用如Dropbox或其他的云服務(wù)來(lái)存儲(chǔ)敏感數(shù)據(jù)時(shí)���,數(shù)據(jù)正在被存儲(chǔ)在組織外���,并可能被暴露在一次云提供商的泄漏事件中。存儲(chǔ)在云中的任何數(shù)據(jù)或系統(tǒng)都易于成為對(duì)云提供商或其他租戶(hù)發(fā)起的攻擊對(duì)象�。
未知漏洞:當(dāng)系統(tǒng)和應(yīng)用在未知的情況下被部署,他們沒(méi)有在系統(tǒng)或者任何應(yīng)用程序清單中列出����,很有可能沒(méi)有滿足配置和補(bǔ)丁管理的要求。影子云資產(chǎn)和應(yīng)用還易于成為那些已經(jīng)發(fā)布的但沒(méi)有被IT人員監(jiān)控的漏洞的受害者��,或者受到那些還沒(méi)有任何補(bǔ)丁或者修復(fù)的零日漏洞的影響�。任何這些問(wèn)題都可能導(dǎo)致潛在的風(fēng)險(xiǎn)提高�����,并且一個(gè)組織可能因?yàn)榇嗳醯挠白釉葡到y(tǒng)和應(yīng)用程序的存在而使整個(gè)組織的風(fēng)險(xiǎn)狀況變得嚴(yán)重傾斜。
未知攻擊目標(biāo):與未知的漏洞相似��,此類(lèi)別側(cè)重于缺乏可靠的系統(tǒng)和數(shù)據(jù)清單����。被清單遺漏的系統(tǒng)會(huì)很自然的成為攻擊的對(duì)象,特別是云服務(wù)�,很容易幫助攻擊面擴(kuò)大到一個(gè)很廣的范圍。
揭開(kāi)影子云的迷霧
盡管有很多與影子云相關(guān)的風(fēng)險(xiǎn)��,安全團(tuán)隊(duì)可以使用一些策略來(lái)處理這些問(wèn)題����。組織可以采取的一些減輕風(fēng)險(xiǎn)的重要步驟包括:
策略和指導(dǎo):安全策略必須要更精細(xì),一方面受到業(yè)務(wù)流程的驅(qū)使�,另一方面因?yàn)轱L(fēng)險(xiǎn)的關(guān)系。CISO必須向業(yè)務(wù)經(jīng)理解釋基于風(fēng)險(xiǎn)的精細(xì)安全策略和對(duì)云實(shí)施的加強(qiáng)����。反過(guò)來(lái),業(yè)務(wù)經(jīng)理在想要使用云服務(wù)的時(shí)候需要讓安全團(tuán)隊(duì)了解業(yè)務(wù)流程應(yīng)該如何和不應(yīng)該如何運(yùn)作��。在策略上解決允許和禁止云服務(wù)的使用是控制影子云的第一步。
監(jiān)控和訪問(wèn)限制:監(jiān)控進(jìn)入云端的數(shù)據(jù)和流量對(duì)于檢測(cè)影子云的使用是很重要的�。對(duì)內(nèi)網(wǎng),系統(tǒng)和數(shù)據(jù)的訪問(wèn)限制也會(huì)對(duì)識(shí)別未知系統(tǒng)和應(yīng)用有所幫助���。一個(gè)好的出發(fā)點(diǎn)是對(duì)互聯(lián)網(wǎng)進(jìn)行內(nèi)容過(guò)濾(URL 過(guò)濾) ?,F(xiàn)在有Skyhigh Networks和Netskope這樣的廠商提供的特定云的內(nèi)容和應(yīng)用程序過(guò)濾�,可以很方便的幫助監(jiān)測(cè)和防止影子云的使用。即便一個(gè)組織選擇不完全限制訪問(wèn)����,監(jiān)控和記錄日志可以幫助確定哪些正在被使用。在此基礎(chǔ)上可以產(chǎn)生決策以及對(duì)風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)規(guī)劃�。
基礎(chǔ)架構(gòu)控制:象防火墻規(guī)則、子網(wǎng)劃分�����、VLAN和ACL這樣的基本控制可以很有幫助��。強(qiáng)化的系統(tǒng)配置���,掃描和打補(bǔ)丁可以有助于在已知的云環(huán)境里防止未授權(quán)應(yīng)用的安裝�。
影子云突顯了其他業(yè)務(wù)需求
要整治影子云的使用可以是一個(gè)漫長(zhǎng)而艱難的過(guò)程��,這已經(jīng)不是什么秘密。通常情況下�,影子云標(biāo)志著政治問(wèn)題或業(yè)務(wù)需求差距需要在一個(gè)組織里得到解決,而盡可能提供更安全的選擇恰恰是信息安全所要做到的�����。幸運(yùn)的是�,有無(wú)數(shù)的工具和技術(shù)�����,可以對(duì)此提供幫助���。
