您现在的位置:融合网首页 > 云计算 >

流氓云计算拴住企业特定云用例

来源: CIO时代网 作者:佚名 责任编辑:admin 发表时间:2013-07-07 10:18 
核心提示:至少可以说,这种新的“流氓”云使用模式,给IT安全领导带来了很多麻烦。没有IT专业人士的专业知识和参与的情况下,为使用云服务的非IT员工构建并运行IT系统,就是为各种潜在灾难性的信息安全场景创造条件。

过去的传统IT组织,以一种有组织的、结构化的方式,使用所开发、获取以及部署的系统,例如,所有员工使用的电子邮件,有些人使用的图形设计工具,或者部门所使用的工资处理系统或者人力资源管理工具。

更重要的是,访问这些系统通常是在IT经理和系统管理员的监控下。想要安装私人系统或者安装公司收购的系统,必须通过IT“监测屏”后才能够部署这些系统。自IT早期以来,这种模式通常运行良好。

然而,云计算的出现对这种模式提出了挑战。云技术迅速发展并得到认可,为IT服务设计和部署带来了一种全新模式:自己动手云服务规划和管理,现在已成为现实。

至少可以说,这种新的“流氓”云使用模式,给IT安全领导带来了很多麻烦。没有IT专业人士的专业知识和参与的情况下,为使用云服务的非IT员工构建并运行IT系统,就是为各种潜在灾难性的信息安全场景创造条件。本文中,我们将研究流氓云的部署,包括为什么要避免流氓云,如何发现流氓云部署以及如何有效地管理它们。

识别流氓云用例问题

流氓云用例,简而言之,是指用于促进组织业务的基于云的资源,在未经授权的情况下被擅自使用。这种趋势迅速发展的一个重要原因在于它绕过了IT组织,IT组织往往被视为实现新兴业务流程的一个路障或阻碍。而现在,无需花费高成本,简单地就能够使服务器在云中运转,在企业IT结构的外部,启动Web服务器或者SharePoint;对用户来说,意味着绕过了很多企业内部存在的繁文缛节。

然而,IT能够提供并管理产品和服务的安全投资组合,流氓云设施会对这种能力产生负面影响。例如,不当配置的流氓云安装可能无法充分保护重要或敏感的业务数据,从而使其泄露到懂行的攻击者手中。或者更糟的是,攻击者可能通过潜在的网络安全漏洞,进入到公司的网络边界——利用网络安全人员无法识别与控制的空缺,因为网络安全人员根本不了解云实例。

《赛门铁克2013避免云隐性成本调查(pdf)》中解决的问题包含流氓云系统。全球IT组织中3200多人参与这项调查。报告显示,新增近三分之一的受访者在其组织中部署流氓云。另一个涉及流氓云使用的关键发现是数据备份问题。据赛门铁克称,超过40%的受访者在云中数据丢失。在这部分受访者中,三分之二的人都无法成功恢复数据。

发现流氓云部署

最可行的对策就是假设流氓云设施已经存在。因此开发各类程序——例如,利用现有的性能监控工具和云服务提供商的监控支持——就能够识别并确定可疑云活动的来源。

口头宣传一直是发现特设云使用的最简单的方法。精明的IT安全组织通常与整个组织的所有部门和关键人物联系密切。理论上,这种连通性提供一个窗口,可以看到部门和个人用户在做什么,以及安全如何作为促进者支持他们的努力,而不是一种抑制剂。

网络监控同样重要。主动监测未经授权的云使用,识别突变的网络流量模式,观察可疑网络活动穿过入侵检测/预防系统,或者发现数据存储需求的异常变化,这些都可能会识别出潜在的流氓云活动。用户与IT授权的提供商创建未经授权实例,提供商可能会发现使用异常(如那些服务水平之外的协议参数),也可能是流氓活动。

管理流氓云部署

假设你识别出了流氓云活动,能够抵制住诱惑,立即关闭。如果不能的话,那么确定流氓云活动对IT操作产生什么影响,具体地说,看它是否能在某种程度上协调组织能力、保护敏感数据以及保留重要的IT资产安全。一些未经授权的云实例是没有危害的,只是需要文档。一旦发现流氓云活动,并且做了详细调查,很明显存在一些需考虑的安全风险,那么必须通知高级管理层,并且要么中止流氓云安装、妥善保护,要么将流氓云合并到现有的IT操作中。

另外,高层管理人员同意制定云服务使用的政策,包括解决非IT和其他未经授权部署问题,解释为什么对公司不利,并详述未能遵守政策的惩罚等的条款。这些将有助于减少未来特设云使用的可能性。

(责任编辑:admin)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    相关新闻>>

      今日头条

      更多>>

      热门关键字

      关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
      Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号