信息安全领域向我们隐藏了一个黑暗秘密:我们正在打一场必输的战争,并且以惊人的速度以数据泄露的形式失去我们的阵地。这并不是因为我们在保护企业资产方面不够努力,而是归结于一个简单的事实:与我们的防御相比,攻击者有更多的时间和工具发动攻击。一些企业根本没有足够的资金投资于信息安全计划所需的资源,而其他企业则试图以最少的人员和预算部署“半吊子”信息安全计划,以满足合规要求。可见,我们正在打一场输仗并不是一个秘密。
然而,时代在改变,现在安全专业人士的“武器库”中出现了新的武器来打击不断增加的网络攻击风险—云计算。越来越多的企业开始部署云计算,来帮助降低成本、提高灵活性和提供业务专业技能。基于云计算的安全服务也具有相同的优势。这种新兴的安全即服务模式为网络攻击和网络防御提供了前所未有的公平竞争环境。不过,需要注意的是,部署企业云解决方案所涉及的风险同样存在于部署基于云计算的安全服务中。那么,你知道何时安全即服务适合你的企业吗?企业需要考虑基于云计算的安全服务的优点和缺点。
安全即服务的优势
1.人员力量增强
信息安全是一种劳动密集型工作。我们可以自动化很多工作,但最终总是需要人来做出判断。我们需要从服务器、网络设备、防火墙和入侵检测系统收集日志,这些都要求工作人员完全集中注意力。劳动力是安全计划中最繁忙的。数据泄露随时可能会发生,而系统始终“忠诚地”记录着信息,直到有人有足够的时间来转译这些日志信息。最近发生了很多涉及系统渗透的数据泄露事故,这些泄露数月后才被安全团队发现。并且,这些数据泄露事故的报告往往来自外部第三方,因为内部没有人有时间来转译这些日志数据。
这也是安全即服务派上用场的地方。云计算主要是共享资源以实现规模经济。安全即服务解决方案可以指派团队处理特定活动(例如监控日志),并在很多不同客户间分摊成本,为大家降低单位成本。安全计划现在可以提供一个专门的日志监控小组,如果没有基于云计算的模式,这是不可能实现的。这提高了安全计划的有效性,并且让内部人员有更多时间放在更高层次的风险管理工作上。
2.提供先进的安全工具
我们都做过这样的事:下载需要投入大量时间以降低安全风险的开源安全工具。这些开源工具是免费的,并且也不需要其他预算。开源技术并没有问题,甚至非常好用。不幸的是,开源技术需要花费大量时间来在生产环境中安装和维护。例如,你花了多少小时来试图找到一个Snort规则,以让你的IDS服务启动?
在另一个领域,部署安全即服务也十分有效:你的安全计划还可以通过云计算规模经济获得先进的安全工具。这些可用安全工具的质量和种类可以与其他企业内部部署的商业产品媲美,且花费没那么多。更重要的是,这些工具将由云服务供应商来维护,所以你有足够的时间来利用这些工具的优势。
3.提供专业技术知识
信息安全是一个广泛的话题,不可能有人了解各个方面的各个细节。例如,一些安全专业人士专注于取证,而另一些则专注于Web应用安全。其他人则因为在企业的安全计划中缺乏足够的人力资源,而仅有全面但不精细的安全知识。这种知识方面的差距可能导致严重的盲点--无法察觉到风险,更别提缓解风险。
安全即服务可以帮助解决这个问题。提供基于云计算的安全的供应商主要侧重于信息安全的特定方面。例如,一些供应商提供基于云的漏洞扫描仪(由专家维护)来检测互联网中可利用的系统。其他云供应商则围绕抵御拒绝服务(DoS)攻击来建立自己的整个网络。企业没有足够的资金聘请相关安全专家或部署资源,而安全即服务让企业可以利用这些专家和资源的优势。这使得内部安全人员不用过多关注技术细节,而更多地关注如何战略性地管理企业的信息安全风险。
4. 将信息安全定位为业务推动力
信息安全部门通常被认为是在企业活动中设置路障的部门,造成这种想法的原因有很多,而这实际上可能并不是信息部门的错误。企业中的一些人可能不理解用于保护机密数据的加密或防火墙技术的重要性。即使他们明白这些技术背后的原因,他们肯定也不明白部署这些安全技术所需要的时间。
安全即服务也可以帮助解决这个问题。它不能让企业其他部门了解安全需求,但它能确保更快的部署安全技术,而这可以减少既定的企业项目的影响。这是所有基于云计算的安全服务的一个关键优势,安全计划必须利用这一优势。例如,虚拟服务器可以快速自动地通过相同的防火墙规则来配置。这还可以让信息安全部门与企业领导建立不同的关系,并可以改变人们对信息安全的看法,将其视为业务推动者,而不是障碍。
5.一种新方法
除了安全即服务的诸多好处外,一些新类型基于云计算的安全也具有一定的优势。除了传统的电子邮件和Web过滤安全即服务外,还有一些新服务值得企业关注,它们可以帮助解决安全行业一直在努力解决而未见成效的老问题。云计算模式的引入为我们提供了一种新方法,也许可以帮助我们解决这些难题。
6.身份管理
密码是众多老问题中的一个,它几乎与多用户计算同时出现。在20世纪80年代的一部电影中,我们看到了一个黑客从便利贴窃取系统密码,现在,员工仍然将写有密码的便利贴放在其键盘下。用户管理单个密码都有困难,更别提现代环境中让他们背负10个密码。
对于系统管理员和人力资源部门而言,管理员工账户并不是简单的工作。新员工都在等待访问系统以完成其工作,而有时候,当员工离职后,其账户可能没有被及时禁用。这种复杂的手动系统给系统管理员和人力资源两方面都带来安全风险。
有几个可靠的安全即服务产品可以加快账户管理过程,并提供单点登录功能。它们可以与云端的系统以及内部网络中的系统配合使用。这些服务利用了开放标准协议(例如SAML),甚至允许结合内部微软Active Directory基础设施。通过这种混合方法,即内部和外部服务从同一来源进行身份验证,企业可以节省时间和资金,简化密码过程,同时还降低整体风险。
7.虚拟机管理
在单个硬件服务器运行多个虚拟服务器是信息技术领域最具颠覆性的改变。企业迅速部署私有云、公共云和混合云来取代挤满数据中心的物理硬件。然而,这项技术也可能给信息安全带来破坏性的影响,同时带来更多新的挑战。
在公共云或私有云管理虚拟服务器的挑战之一是配置管理。配置管理包括通过基于企业政策的安全方法配置和维护服务器,这些方法有防火墙政策、文件系统权限和安装的服务。支持这一过程的技术已经充斥在数据中心中。基于云计算的配置管理系统需要能够跨多个云服务供应商和内部数据中心提供这种功能。
用于配置管理的基于云计算的安全服务提供这种功能。它们用越来越多针对Windows服务器的功能提供对Linux的完整控制,它们还可以用于GoDaddy.com托管的服务器以及Linode托管的服务器。令人惊讶的是,这些新的基于云的配置管理系统更易于配置,并且与之前内部托管系统一样强大。这是值得安全专业人士关注的另一个基于云计算的安全服务,即使他们只有内部服务器资源需要管理。
8.网络层保护
在过去几年中,保护对基于互联网的资产的网络连接变得越来越迫切。现在,网站正越来越多地受到网络犯罪分子和黑客组织的攻击。黑客组织Anonymous使用低技术工具(例如Low Orbit Ion Cannon)对各种企业发动DoS攻击继续成为新闻头条,这种类型的攻击主要出现在企业靠互联网来访问基于云的应用的当下。
对这种针对云资产的攻击的最好防御其实是云本身。一些安全即服务解决方案通过利用大量带宽和智能协议路由,来提供针对DoS攻击的保护。这些服务还可以将Web服务器隐藏在其前端服务器后,防止遭受路过式攻击。其他基于云计算的安全包括PCI DSS、数据标记化、web应用防火墙以及隐藏DNS服务器。
安全即服务的风险
对于缓解安全风险,世界上并不存在完美的工具,安全即服务也不例外。基于云计算的安全服务和所有其他云服务相同的安全风险一样,主要分为以下几个类别:
1. 云供应商对你的数据拥有一定程度的访问权限。云供应商必须谨慎处理安全相关的数据,因为这些数据的泄露可能导致多个数据泄露事故。更全面的云计算服务应使用加密技术,但这里仍然存在供应商密钥管理的问题。对于需要拥有最高数据保密性的应用的企业,最好考虑使用内部解决方案。
2. 安全即服务将是从互联网访问。对于内部系统,安全专业人员不需要考虑这个风险,在过去,将内部防火墙管理工具暴露在互联网从来都是不被接受的做法。这些服务器的身份验证系统必须提供强大的多因素身份验证,以确保适当的保护水平。你还需要考虑潜在的DoS攻击,如果没有强大的保护,攻击者可能会修改服务或者阻止企业管理或访问这些服务。
3. 安全即服务供应商间输出服务的开放标准不太可能。使用这些服务的企业需要明白供应商间的任何切换将是完全手动的操作,包括在新供应商处重新建立防火墙规则、虚拟机配置和身份验证方法。
4. 企业应该进行详细的供应商尽职调查审计,以对待任何其他云服务供应商的方式来对待安全即服务。企业应该仔细选择供应商,并调查其财务状况,以确保他们不会突然人间蒸发。彻底检查服务供应商的信息安全状态,从SAS-70或者SSAE-16审计报告以及漏洞评估报告开始。企业需要完全信任云供应商,所以,这种审计是至关重要的。
5. 对于基于云计算的安全服务,合规是另一个难以解决的问题。一个服务可以提供一流的审计报告,并满足所有尽职调查的技术要求,然而,却可能仍然不能满足合约或法律协议,例如HIPAA法案要求的商业伙伴合约(Business Associate Agreement)。这种情况正在改善,但企业必须了解安全即服务供应商将如何满足其特定的合规要求。
很多信息安全专业人士对部署任何类型的外包服务都充满焦虑,这是安全即服务需要考虑的。目前的经济发展让很多类型的员工产生一定的抗拒,安全专业人士担心自己被云服务取代。然而,这些新服务可以让安全专业人士将时间和精力投入到更高水平的战略性安全项目中,而不是每天的日常维护工作。这将有助于安全计划实现更高的效率,而这实际上还可能增加工作安全性。此外,谁真的愿意花整晚的时间来编制另一个更新版本的Snort?
