在大多数组织的云计算策略中,云计算资产发现是最容易被忽视和最难被理解的组件之一。这就是原因。
当组织在开始运营自己的数据中心时,发现组织的互联网边缘是一项简单的工作,而安全性只是扫描静态IP地址列表以确保资产安全。如今,大多数组织已经或正在构建大量的云足迹。其中一个巨大的推动因素是开发人员、营销和其他非IT功能在云中创建(和放弃)资产。其中许多未知的和未经授权的云计算资产都处于短暂的IP空间中,这使得组织更难以全面了解其云计算安全和基础设施管理。
随着全球云采用率的攀升,出现了当前工具无法解决的新IT和安全挑战。虽然保护已知资产很简单,但是不可能保护未知的东西,例如影子IT和恶意开发之类的东西,这两者在云平台中都比比皆是。企业云足迹带来了独特的挑战,其中包括:
现有工具无法以当前、可靠和全面的方式发现授权和未授权提供商的云计算资产;
未知和未经授权的云资产可以轻松和快速地生成并保持活跃和未被发现;
现有工具在多租户或短暂环境中可靠地解决自有资产与其他资产的不足。在短暂的IP空间中管理和保护资产需要查看当前又准确的资产。现有的云计算管理工具之所以失败,因为它们只是因为一次看到托管公司资产的IP地址而将云计算IP地址跟踪到组织。此信息很快就会变得陈旧,对于保护恶意云计算资产没有用处或可行。因此,为静态网络设计的安全范例在云中不起作用。更糟糕的是,依靠这种无效的方法可能会导致IT和安全从业人员进行扫描、渗透测试以及浪费时间来调查甚至不属于他们的资产,并且会同时丢失产生风险的关键未知云资产。
许多云计算管理工具供应商认为,他们通过与IaaS管理接口的集成提供全面的资产视图。Expanse公司网络风险高级主管Marshall Kuypers博士警告称,“从表面上看,这似乎是一个很好的解决方案,但这种策略只涵盖已经被跟踪的内容,这可能提供虚假的安全保障。”
Kuypers博士指出,这些集成未能识别“未知的未知数”,这在大型组织中是例行公事,并且是由于政策外营销、开发和其他业务功能导致的恶意云部署。多租户加剧了这个问题,因为来自多个公司的资产可以存在于同一个IP上。
Kuypers博士进一步指出,使用Expanses的整个互联网云发现的客户经常发现他们不知道的基于云计算的互联网资产增加了3%到70%。而这些资产通常包含一些在组织的互联网边缘风险最大的错误配置。这些发现通常包括暴露(有时已经受到破坏)的数据存储服务,废弃的开发环境,甚至是弹出式电子商务站点。
“整体互联网”方法
如今,组织的云计算资产可以驻留在任何一家提供商中,其中包括住宅/商业云提供商。要彻底解决问题,组织必须首先采用发现优先的“整体互联网”方法来实现云安全。
一旦发现云资产并暴露出任何有风险的错误配置,组织就可以利用市场上的无数云安全工具,或简单地利用IaaS控制台来管理资产权限和其他配置项。但云计算的资产发现必须是一个持续的过程,以保持组织云足迹的清晰准确的图像。