云数据中心变革导致安全风险增加

2015-11-30 13:09:43

云计算

安全 随着云数据中心技术变革步伐的加快，在云数据中心中，需要进行变革的项目清单也变得越来越长。这一项目清单包括物联网、创新、大数据、移动化、社交访问以及SDN/NFV。变化总是有风险的。而快速变化的风险更大，其留给变更管理和变更技术检查的时间也就变得更少。有CSO提出了一个涉及到云数据中心的变革有关的所普遍存在的风险问题，以及鉴于这些风险的的存在，为维护数据安全的技术问题。

云数据中心变革的所普遍存在的风险

物联网设备是相当微小的，这要求那些当前自己无法找到行之有效的操作系统和软件的供应商们必须自行编写定制化的代码，Rook Security公司的信息安全分析师Mat Gangwer表示说。“攻击者经常逆向工程软件，以发现因为缺乏代码控制和质量保证所导致的安全漏洞。”Gangwer解释说。而这只是物联网安全漏洞的一种。

越来越多的物联网设备、设备类型、数据类型，使得来自这些设备的流量到达云数据中心以待处理的越来越多，从而也就造成了管理怎样的设备与实体进行了通信交流也越来越具有挑战性。“由于设备无序扩张的本性，再加上有着如此众多不同的操作系统，以及物联网设备的复杂性和生产厂商所供应的连接到物联网游戏的产品数量之多，使得想要很好的维护命令和控制这些资产很快变得几乎不可能。” Armor公司(前身为FireHost公司)的Threat Intelligence Lead部门的Chase Cunningham博士表示。

企业的创新正在超过物联网在云数据中心的创新。他们经常雇用服务承包商在云中开发创新的应用程序。为此，他们采用虚拟机建立了开发资源。这是很好的。因为这使得这些开发的系统在真正被开发出来后的确是现实可行的。但这往往造成了不必要的虚拟机蔓延和安全攻击面，而企业甚至可能都没有意识到这些安全攻击面存在于哪里、但其实它们是开放且脆弱的。“那些机器待在那里等待被告知应执行什么任务，为某些人提供了一个攻击企业的途径。“在过去几年里，已经发生了几次严重的违规行为了。” Cunningham说。

相应的也有某些安全违规是由大数据分析、处理和基础设施技术所导致的，这些为都为攻击者以知识产权的形式提供了动机，一种让他们更有把握从其入侵企业的手段。诸如Hadoop和MapReduce等大数据工具，是相对较新的工具，具备额外的动态入口和出口点，而非法雇用的黑客对于这些安全漏洞再清楚不过了。 “在没有比这能够让黑客获得一个立足点站稳脚跟后，对企业造成损害更好的资源了。” Cunningham说。

当提及该动态入口和出口点时，移动和社交云数据访问是进入到云数据中心的一个巨大的门口。随着越来越多的社交恶意软件和攻击者通过移动设备或社交媒体进行网络攻击，现如今，移动设备和社交媒体已经成为可以直接威胁企业数据安全的一大隐患。 “而攻击黑客们所需要做的工作就是在您企业的环境中监运行一款恶意代码，同时将其同步到他们的Google Drive，这其中就包含了您公司的相关数据信息，那么就完蛋了，这一切即不违反您企业的终端管理，而无需通过恶意软件扫描，也没有使用网络钓鱼电子邮件。”Cunningham说。

移动设备并非黑客唯一可以采取的无需花费太多功夫就可以造成大规模安全漏洞被攻击的攻击向量。SDN和NFV将大量的网络控制交付给软件进行处理。在这些环境中，攻击者只需要修改一些代码来获得某些密钥甚至影响到整个企业网络的资源，Cunningham说。 “然后，他们就可以将流量劫持到任何地方，如果他们愿意的话，他们可以使用虚拟路由器或交换机端口关闭整个数据流。”Cunningham说。

在这个变化的环境中保障数据安全

为了保护物联网设备的新兴负载，以及由这些设备所创造和传递的数据，企业必须首先针对这些设备将如何构建和落实，进而影响云资源，设置严格的控制政策和方法，Cunningham说。为了评估实施这些管理政策所导致的变化，企业必须在建立起了相应的管理政策之后，不断地更新其技术。除非知道其是如何开始的，否则企业根本不知道发生了什么改变。企业应对每台设备是如何进行通信的进行分类目录，无论其是否通过蓝牙连接网络的。“如果您对于您企业的基础设施看起来像什么样都没有一个很好的了解的前提下就开始整个云基础架构的扩展部署，那么您在控制权之争的战斗中已经失败了。”Cunningham说。

为了防止外包的开发人员在每一次创新中都创建一个新的攻击向量，企业应了解其基础设施在这些项目之前期间和之后的样子。这样一来，企业就可以确保在相关的项目完成、关闭或删除之后，这些基础设施不会继续停留;而所有为项目需要而创建的开口，无论是开发人员的虚拟机或远程登录凭据都会被关闭。

为了关闭通往企业大数据资源的大门，企业应通过要求双因素身份验证以保护有共同点的脆弱的安全漏洞，如采用登录屏幕和凭据。监测也可以提供帮助。“监控那些对于大数据存储库的异常访问。” Cunningham说。

因为许多大数据技术都是为了方便企业用户开箱即用的需求，具有其通达性和便利性，因而这方面需要进行一些定制化，以确保配置设置正确，能够适当地锁定这些工具，Gangwer说。

此外，大数据需要充分利用云数据复制的优势，将数据从一个数据中心迁往下一个数据中心。“这就引出了一个在传输过程中的数据是否被加密的问题。”Gangwer说。其应该是的。而如果是医疗数据，就必须是。

无论攻击者是如何侵入的，包括通过移动和社交访问，他们的目的是必须得到企业的数据，然后利用这些数据。数据丢失防护工具则可以提供帮助。“一个真正有利的技术组合能够专门提供给移动设备，使用企业存储或container容器，并要求双因素身份验证才可以访问企业数据。” Cunningham说。

为了确保企业为其SDN和NFV所选择的开源软件有更少的漏洞，务必确保只使用经过了很好的审核，并在全行业广泛普及的技术。“任何一段离奇的代码或者一个离奇的SDN技术，如果没有一个其是安全的共识的话，都是不值得尝试的。” Cunningham说。企业还应该测试使用渗透测试，以确保对这些环境的访问受到限制。