導讀:隨著全球云采用率的攀升,出現了當前工具無法解決的新IT和安全挑戰(zhàn)。雖然保護已知資產很簡單,但是不可能保護未知的東西,例如影子IT和惡意開發(fā)之類的東西,這兩者在云平臺中都比比皆是。
在大多數組織的云計算策略中,云計算資產發(fā)現是最容易被忽視和最難被理解的組件之一。這就是原因。
當組織在開始運營自己的數據中心時,發(fā)現組織的互聯網邊緣是一項簡單的工作,而安全性只是掃描靜態(tài)IP地址列表以確保資產安全。如今,大多數組織已經或正在構建大量的云足跡。其中一個巨大的推動因素是開發(fā)人員、營銷和其他非IT功能在云中創(chuàng)建(和放棄)資產。其中許多未知的和未經授權的云計算資產都處于短暫的IP空間中,這使得組織更難以全面了解其云計算安全和基礎設施管理。
隨著全球云采用率的攀升,出現了當前工具無法解決的新IT和安全挑戰(zhàn)。雖然保護已知資產很簡單,但是不可能保護未知的東西,例如影子IT和惡意開發(fā)之類的東西,這兩者在云平臺中都比比皆是。企業(yè)云足跡帶來了獨特的挑戰(zhàn),其中包括:
現有工具無法以當前、可靠和全面的方式發(fā)現授權和未授權提供商的云計算資產;
未知和未經授權的云資產可以輕松和快速地生成并保持活躍和未被發(fā)現;
現有工具在多租戶或短暫環(huán)境中可靠地解決自有資產與其他資產的不足。
在短暫的IP空間中管理和保護資產需要查看當前又準確的資產?,F有的云計算管理工具之所以失敗,因為它們只是因為一次看到托管公司資產的IP地址而將云計算IP地址跟蹤到組織。此信息很快就會變得陳舊,對于保護惡意云計算資產沒有用處或可行。因此,為靜態(tài)網絡設計的安全范例在云中不起作用。更糟糕的是,依靠這種無效的方法可能會導致IT和安全從業(yè)人員進行掃描、滲透測試以及浪費時間來調查甚至不屬于他們的資產,并且會同時丟失產生風險的關鍵未知云資產。
許多云計算管理工具供應商認為,他們通過與IaaS管理接口的集成提供全面的資產視圖。Expanse公司網絡風險高級主管Marshall Kuypers博士警告稱,“從表面上看,這似乎是一個很好的解決方案,但這種策略只涵蓋已經被跟蹤的內容,這可能提供虛假的安全保障?!?/p>
Kuypers博士指出,這些集成未能識別“未知的未知數”,這在大型組織中是例行公事,并且是由于政策外營銷、開發(fā)和其他業(yè)務功能導致的惡意云部署。多租戶加劇了這個問題,因為來自多個公司的資產可以存在于同一個IP上。
Kuypers博士進一步指出,使用Expanses的整個互聯網云發(fā)現的客戶經常發(fā)現他們不知道的基于云計算的互聯網資產增加了3%到70%。而這些資產通常包含一些在組織的互聯網邊緣風險最大的錯誤配置。這些發(fā)現通常包括暴露(有時已經受到破壞)的數據存儲服務,廢棄的開發(fā)環(huán)境,甚至是彈出式電子商務站點。
“整體互聯網”方法
如今,組織的云計算資產可以駐留在任何一家提供商中,其中包括住宅/商業(yè)云提供商。要徹底解決問題,組織必須首先采用發(fā)現優(yōu)先的“整體互聯網”方法來實現云安全。
一旦發(fā)現云資產并暴露出任何有風險的錯誤配置,組織就可以利用市場上的無數云安全工具,或簡單地利用IaaS控制臺來管理資產權限和其他配置項。但云計算的資產發(fā)現必須是一個持續(xù)的過程,以保持組織云足跡的清晰準確的圖像。