IaaS：雲安全的下一個篇章

從製造業、金融服務到公共部門的行業中的公司信任雲服務提供商及其關鍵的數據，軟體即服務（SaaS）應用程序（如Office 365和Salesforce）的快速增長取決於信任。但是，SaaS在IT安全專業人員確定雲服務提供商可以產生與傳統軟體相當或具備更好的安全性之前採用量一直很低。主要的挑戰仍在企業方面，Gartner預測95%的雲安全事件是用戶的錯誤。

現在，第二波的雲採用浪潮正在迅速蔓延，圍繞著基礎設施即服務（IaaS）展開。對於IaaS來說，企業需要使用共享責任模型來更新其安全方法。

更新IaaS的共享責任模型

Cloud-first的公司使用SaaS工具實現不同功能：Office 365協作，Workday人力資源和Salesforce用戶關係管理。每個組織還擁有規模不等的為員工、用戶和合作夥伴服務的應用程序。組織正在消除其數據中心，並將這些專有應用程序大量地遷移到IaaS雲產品中，從而使IaaS增長率達到SaaS的兩倍。

即便已經對SaaS安全採取主動方法的公司也必須重新評估其在IaaS平台上託管的應用程序的性能。SaaS和IaaS平台在不同的共享責任模式下運行，或者在雲服務提供商和用戶之間分配安全能力。SaaS提供商所處理的很多安全漏洞都落在IaaS服務上承載的應用程序所屬企業用戶的肩膀上。

此外，企業快速遷移的壓力意味著安全團隊可能對IaaS安全幾乎沒有有效地監控；開發團隊沒有額外的資源專門應用於更新預定遷移到雲端的現有內部應用程序的安全性。專有應用程序沒有SaaS應用程序等專用安全解決方案，也沒有與安全產品集成的API.雖然過去我們認為創業公司和雲服務提供商是處理AWS、Azure或谷歌雲平台安全性的公司，但如今財富榜前2000的公司仍然面臨著在雲端保護應用程序的挑戰。

IaaS安全威脅來自組織的內部和外部。黑客攻擊企業IaaS賬戶以竊取數據或計算資源，可以通過竊取憑據，獲取錯誤的訪問密鑰或利用配置錯誤的設置來利用此向量。一位研究人員在GitHub上發現了超過10000個AWS憑證。在託管公司代碼空間的最壞情況下，被黑客入侵的賬戶可以用於挖掘比特幣。

在企業內部，具有訪問IaaS賬戶的惡意員工可能會通過竊取、更改或刪改平台上的數據而造成巨大損失。人為錯誤和疏忽可能會將公司數據和資源暴露給攻擊者。醫療保健公司CareSet發生配置錯誤，導致黑客利用其谷歌雲平台賬戶對其他目標發起入侵攻擊，在幾天之後都沒有恢復，谷歌暫時關閉了該公司的賬戶。組織不能錯誤地假設IaaS環境是安全的，在上述每種情況下，雲服務提供商都無力為用戶解決這些漏洞。

IaaS安全行動計劃

在IaaS平台上的專有應用程序中保持數據安全需求超出SaaS安全性的範疇：保護計算環境本身。在AWS、Azure和谷歌雲平台或其他IaaS平台上保護計算環境從配置審核開始，以下是對於確保IaaS使用至關重要的四種類型的配置：

1、身份驗證

多重身份驗證是任何具有敏感公司信息，尤其是暴露於Internet的雲應用程序的必要控制。公司應為root賬戶和身份以及管理訪問用戶開啟多重身份驗證，以降低賬戶泄露的風險。高度身份驗證可能需要用戶在提交操作之前輸入其他登錄步驟。

2、無限制訪問

不必要地暴露AWS環境增加了各種攻擊方法的威脅，包括拒絕服務、中間人攻擊（man-in-the-middle）、SQL注入和數據丟失。檢查對Amazon Machine Images的無限制連接、資料庫服務實例和彈性計算雲可以保護知識產權和敏感數據，以及防止服務中斷。

3、非活躍賬戶

非活躍和未使用的賬戶對IaaS環境造成不必要的風險，審查並刪除不活躍的賬戶可以防止賬戶損害和濫用，降低生產力成本。

4、安全監控

將計算遷移到雲端的最大的問題是失去可視化和取證。打開AWS的CloudTrail日誌記錄進行審計跟蹤，可以建立一個行為監控工具，用於主動威脅和調查。這也是任何大型公司的基本合規性要求，可以成為將應用程序移動到IaaS的交易中斷。

在這4個類別中，安全監控是最複雜且最可靠的。機器學習工具可以被調整以檢測指示威脅行為的範圍。API可以根據會話位置，或強制登錄啟用監控。乍一看，將應用程序遷移到雲端可能會失去控制。然而使用主動的基於雲的安全策略，IaaS上的應用程序可以與其內部對等方一樣安全，甚至更安全一些。

End.

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！