对于物联网(IoT)使用云服务的企业来说,尽可能采用更多的安全措施至关重要。专家对最好的方法进行了权衡。
物联网(IoT)在云端的应用为云安全带来了一个棘手的问题。大多数组织只考虑设备本身的安全问题,而不是通过云计算提供的服务来考虑潜在的漏洞。然而,由于所有的数据都是通过物联网设备收集的,组织将发现利用云服务可能是减轻他们内部基础设施压力的最好方法。但这开启了一个全新的蠕虫病毒世界——专家们建议,企业应该将云安全放在首位,并且刻不容缓,以防止代价昂贵的违规行为。
根据SystemExperts公司高级顾问Paul Hill的说法,物联网设备将根据其环境进行监控,通信和响应。虽然许多物联网设备都是以消费者为导向的,但更多的企业正在为各种应用而采用物联网设备。
“在企业网络上出现的物联网设备数量将会翻一番,甚至增加一个数量级,”Hill说。收集和分析这些信息将很容易超过大多数IT部门的内部服务器能力,促使组织采用云数据中心的服务,但是这样为其带来了风险。
在引入物联网之前先进行网络控制
云计算安全联盟(CSA)已经组建了一个工作组来提供最佳实践,专家们提供了一些自己的建议,以防止云计算安全成为物联网部署中的薄弱环节:处理流量,了解云服务周边设备的安全性,等等。
例如,Hill建议将物联网流量与其他网络流量隔离。他说,“正如大多数安全机构将其数据流量与其语音流量隔离一样,物联网流量也应与其他网络流量隔离。”并指出可以使用物联网网关来实现此目的。
此外,物联网的网络流量需要在被隔离后进行监控和管理,就像网络上的任何其他流量一样。“许多企业对于物联网设备产生的网络流量和他们可能访问的云服务缺乏完整的了解。”Hill说,“将需要工具来检测是否使用受损或采用非托管设备来访问云服务,以及验证敏感的物联网数据和系统是否得到安全处理。”
可以从DNS,防火墙和Web代理日志中收集有关流量的一些信息。但是,应该考虑更为先进的工具,如入侵检测系统,入侵防御系统和云访问安全代理系统。
使用前检查云计算基础设施
像AWS这样的云基础架构是使用它来管理其物联网设备的组织的另一个关注点。在Ayden公司和Bugcrowd公司担任顾问的网络安全专家Paul Moreno表示:“虽然企业尽可能多地努力加强应用程序,但仍有许多安全控制措施能够被攻击者所破解。”
其他支持基础设施(如GitHub)如果没有适当的控制,可能会出现漏洞,Moreno说,“也许是忘记锁定S3桶权限,或在公共存储库检查敏感的代码。”
关注安全维护程序
Cybrary公司的网络安全专家Jeff Man说,如果没有维护,监控和回应,云计算安全控制措施的实施可能没有成效。他表示,尽管安全性的责任被传递给了云计算提供商,但有人仍然需要负责访问控制,流量过滤,安全配置,数据保护,病毒保护以及其他事件监控,响应和预防。
大多数云计算服务提供商将在服务级别协议中规定安全措施。“我所知道的主要问题是客户认为云计算提供商提供的安全控制比实际提供的更多。”Man说。他建议企业将业务迁移到云端,仔细阅读服务等级协议(SLA),并确保他们知道云计算提供商需要维护哪些安全控制,以及哪些安全控制必须企业自己实施。
“云安全和物联网的重叠为安全供应商提供了机会。”Man说。这些供应商大多集中在开发可在云端提供的安全控制和服务,并覆盖未知和已知的物联网设备。检测是第一个组成部分,因为组织不能保护他们不了解的内容,其次是进行安全测试和漏洞识别。
Man说,“采取积极主动和强制执行的访问控制,合法的系统和用户清单,配置和补丁管理是企业需要的必要条件。”
对于物联网(IoT)使用云服务的企业来说,尽可能采用更多的安全措施至关重要。需要了解谁来负责安全性,云计算提供商提供的内容,以及自己网络上已有的内容,这将大大有助于防止违规行为,帮助他们有效地抵御黑客。