急于采用托管云計算基礎設施以及內部部署系統(tǒng)的企業(yè)可能無法完全理解或解決潛在的安全威脅。

隨著越來越多地采用云計算技術，企業(yè)也遇到了各種新的潛在威脅，這些威脅來自于各種基于云計算技術的快速且頻繁的部署。云計算安全咨詢機構Trimarc公司創(chuàng)始人Sean Metcalf表示，企業(yè)對混合云技術的采用尤其關注。

混合云是內部部署基礎設施與云計算托管基礎設施和服務的結合。IaaS提供商通常是云計算行業(yè)巨頭（例如AWS、微軟Azure或谷歌云）。Metcalf表示，企業(yè)將內部部署數(shù)據(jù)中心擴展到云平臺中，基本上意味著云平臺可以作為VMware或Microsoft Hyper V等虛擬化主機有效運行。

由于這種有效的虛擬化，與這些云計算數(shù)據(jù)中心元素相關的任何攻擊都類似于對VMware和Hyper V的攻擊方式，但是這些可能是由Microsoft、AWS，或者是谷歌云托管的。

這些托管巨頭的托管基礎設施都有不同的功能和配置，這使得保護這些基礎設施的安全對企業(yè)來說更加復雜。這些復雜性對于大型組織尤其如此，因為大型組織通常具有跨多個云計算服務器安裝的虛擬機（VM）實例。Metcalf表示，采用多個云計算提供商的服務對于企業(yè)來說很常見，因為任何人都可以注冊云訂閱或云帳戶，這意味著企業(yè)的業(yè)務部門都可以設置自己的訂閱或帳戶和租戶。

當將混合云的其他選擇（例如Salesforce或Workday或Office 365）考慮在內時，其面臨的挑戰(zhàn)會越來越多。這些SaaS元素中的每一個都有自己的要求，并使用在內部部署環(huán)境中配置的同步工具。來自內部部署基礎設施（通常是Active Directory）的大量信息通常是出現(xiàn)在云計算環(huán)境中，Active Directory是Windows域網絡的目錄服務。

Metcalf說：“其存在挑戰(zhàn)是有道理的，但這些連接點往往有一些有趣的安全權衡，這些權衡往往不太常見或沒有被很好地理解?！崩纾W絡攻擊者可能會從Active Directory危害到域控制器，而域控制器是托管Active Directory身份和身份驗證系統(tǒng)的服務器。這成為網絡攻擊者的主要攻擊目標。

急于采用云計算需要強調IT團隊的安全性

組織急于向云遷移增加了IT團隊的安全負擔。Metcalf說：“在通常情況下，組織的運營團隊和安全團隊都會被這種方法拖累。業(yè)務主管表示，這就是他們前進的方向?！?/p>

混合云環(huán)境中的另一個大問題是身份和訪問管理（IAM），要確保用戶只能訪問他們應該訪問的那些系統(tǒng)元素，即使在最佳情況下，這對企業(yè)也是一個長期的挑戰(zhàn)。Metcalf說：“人們通常沒有意識到的另一件事是，無論是誰首先在云計算提供商那里創(chuàng)建租戶、訂閱或帳戶，都會保留管理員權限。當他們在混合云環(huán)境中運行所有負載時，服務器管理員通常會獲得所有內容的完全權限。AWS、Azure和谷歌云平臺各自以不同的方式管理訪問角色，因此很多組織通常急于讓它完成，因為需要完成的時間表。這樣做有可能出錯，因為這些角色通常會被過度授權。”

技術團隊需要支持以了解混合云

除了這些潛在的安全隱患之外，很少有人真正了解云計算環(huán)境。Metcalf說：“當人們談論云計算技術，并計劃轉移到云平臺時，這首先是一件非常復雜的事情，因為云計算對很多人來說都是新事物，并且每周或每月都會改變。跟上其變化是一項很廣泛的工作，但至少是可以做到的?！?/p>

因此，Metcalf建議企業(yè)確保員工、技術人員（包括運營和安全人員）獲得他們所需的支持，以更好地了解云計算環(huán)境。Metcalf建議，在提供這一支持的同時，確保所有管理員帳戶都通過云計算提供商配置了多因素身份驗證或任何相關系統(tǒng)。他指出，在2019年收集的數(shù)據(jù)表明，不到8%的管理員使用多因素身份驗證進行云訪問。如果不可用，要求供應商使其可用，因為這是減輕網絡攻擊者控制該帳戶可能性的好方法。

讓云計算管理脫離生產工作站

另一個關鍵建議是，確保環(huán)境中的用戶工作站不會執(zhí)行任何管理活動或任務。這樣一來，網絡攻擊者就更難于提取或破壞用于組建管理部門的身份。大多數(shù)組織中配置的典型工作站都沒有得到足夠好的保護，以防止網絡攻擊者進行破壞。組織必須確保這些特權憑證受到良好的保護，并且與用戶在系統(tǒng)上進行活動的正常方式隔離開來。

云計算的管理通常涉及Web瀏覽器。Metcalfe說，“我們知道Web瀏覽器并不是大多數(shù)系統(tǒng)上最安全的應用程序。但是，管理員通常會使用這些Web門戶，這意味著他們很可能只是在打開Firefox或Chrome并進行管理，這有很大的風險?！?/p>

盡管混合云環(huán)境中的大多數(shù)風險來自組織面臨的復雜技術挑戰(zhàn)，但云計算提供商本身無法免受安全風險的影響。Metcalf在評估為全球三大云計算提供商（AWS、微軟和谷歌）審查托管的活動目錄環(huán)境時，發(fā)現(xiàn)其中一家云計算提供商的活動目錄環(huán)境存在漏洞，而這家云計算供應商正在對其進行修復。

最后，不斷變化的云計算環(huán)境要求組織不斷努力以阻止惡意行為者。Metcalfe說，“從安全角度來看，關于云計算的一件有趣的事情是，客戶通常并不知道增加的新功能，但網絡攻擊者很可能是第一個發(fā)現(xiàn)并開始利用它的人?！?br /> 責編AJX