任何IT组织的首要目标都应该是让战略和业务保持一致。在现实世界中,IT团队同业务部门协商,并开发出围绕业务需求的清晰战略。业务部门随后等待预算审批,基础架构构建以及安全和法规遵从控制的实现。整个流程会发费数周、数月或者数年,而且还是没能满足业务部门的期望。
如果业务部门发现且实施技术,没有IT的参与会怎么样呢?一般业务部门能否精准定义私有信息放入云端的风险吗?这正是IT安全部门面对的现实。易用的云服务非常多,要求能够解决的任何业务问题,只是通过点击一下鼠标。IT安全部门必须在公司成为数据外泄新闻头条之前,以某种方法检测这些服务并证明身份识别的价值以及减轻与业务相关的风险。
好消息在于有很多可用的工具能够减轻基于云的服务的风险,包括这样的一些功能,预服务、联合身份认证和管理虚拟基础架构。坏消息在于没有足够的产品能够监控或者阻止未认证的云服务的使用。然而,企业可以使用现有的安全技术和控制协助迅猛的云服务大潮。
使用已有工具监控云服务
监控和检测云服务的第一种方法就是利用目前现有的投资,主要是网络过滤、下一代防火墙或者数据丢失保护(DLP)产品。这些系统已经存在于网络中,组织包含私有信息的流量或者检测访问不适当的网站。DLP系统尤其有用,由于它们可以使用中间人技术监控SS了加密的流量。DLP和网络过滤系统可能已经定义了配置来检测或者存取对于基于云的文件共享网站的访问,比如 Dropbox和Google Drive。这些定义文件需要修改才能允许其他潜在基于云的服务的检测。
有好多云服务的注册提及能够协助构建自定制定义,无论是对于DLP还是网络过滤系统。然而,用这些注册构建自定制定义属于劳动密集型工作,因为有很多潜在的云提供商可以选择。为了让这条途径变得容易,优先考虑关注业务最可能使用的云提供商。安全软件厂商最可能添加的云提供商注册到未来DLP或者网络过滤产品中的,但是同时,检测仍旧是一种人工流程。
如果安全团队预算有限,无法访问这种类型的工具,也有其他更好的开源选择。对于很多受限于预算的安全专业人士来说工具的选择就是入侵检测系统(IDS)Snort,开源版本,包括可以运行任何旧的PC到第一类IDS机器的免费规则。Snort真正厉害的地方在于其能够轻松增加自定制规则来符合环境。这个规则通常被插入本地规则文件,包含在默认的Snort安装中。
下面一个自定制Snort规则示例,能够用于检测对于Rackspace的访问:
Alert tcp any any -> 67.192.1.7 any
这条规则能够在任何端口上检测任何端口对于IT地址67.192.1.7的任何TCP访问。这条IP地址映射了Rackspace服务的管理门户。以这种方式配置Snort对IT团队提出提示的是,无论什么时候员工内部网络访问Packspace门户来管理基于云的服务。
记住同业务部门共事
下一代防火墙、网络过滤、DLP和IDS系统都是监测访问基于云的服务的很好的工具。然而,他们都是内联工具,假设用户从企业内部访问互联网连接。如果用户用移动设备在自己的互联网连接中访问未批准的基于云的服务,IT必须使用不同的方法来检测。
IT安全团队需要同业务部门合作来教育用户使用未批准的云服务的风险,并围绕构建和管理构建强有力的策略。这种方法的价值永远不会被看轻。这些基于云的服务正在成为业务的一大项花销,因此财务控制也应该创建。财务控制可以轻松实现,以为内他们更加敏感且相对于潜在风险场景更易于对业务部门解释。这些控制应该包括要求IT回顾的策略,财务和法律。创建这样的合作伙伴关系也将协助重构摇摆不定的IT业务战略,让二者保持一致,因为业务部门在IT部门之外购买东西。
用户在企业中访问未批准的云服务的问题,很可能随着云应用成为更加可负担且为广大用户可访问的服务而逐渐增长,IT安全团队应该考虑在成熟企业中利用已有的工具。限制后续资金对于新技术的需要,最好的选择就是解决这个问题,包括构建IT业务之间的关系,是值得在这个问题之外奋斗的事情。