檢測與管理未授權的雲計算使用

雖然大多數人可能都知道了自己是否已在雲計算中部屬了應用程式或資料，這裡有一個小提示：如果你的HTTP://www.aliyun.com/zixun/aggregation/7155.html">開發人員有信用卡， 那麼你已身在雲計算中。 上面純屬笑談，這裡有著另外一個判定標準：如果你的任何銷售代表求助説明台的次數少於每月一次，那麼你就是在使用雲計算。

如今企業所面臨的首要問題之一併不是他們是否已經採用了某種程度的雲計算服務，而是他們是否能夠高效、安全地管理他們的雲計算遷移。 太多太多的企業在發現一些營業單位或開發人員沒有通過「正當」的管道把企業的重要資料或應用程式遷移至雲計算時已為時太晚。 我們很難責怪他們，因為當開發人員面臨如下選擇時，我們自己也很難不做出類似的選擇：一個是在幾分鐘內使用信用卡建立一個基於雲計算的測試系統；另一個則是花費數月的時間在資料中心中配置建立一個新系統， 而且他們還有可能無法直接對其進行管理。

而那些銷售代表：永遠不要低估那些免費線上服務的作用，它們能夠説明銷售人員更為輕鬆地在途中或在家中遠端辦公時交換和管理資訊。 這些挑戰可以分為兩類：開發人員和IT專家充分使用雲計算，將其作為一個擴展的資料中心/測試環境，而使用者使用買方/方便的雲計算服務來説明他們更為高效地處理他們的日常工作。 這都不是壞事，使用者不一定是故意違反規則（如果有規則的話），但是對於我們這些安全專家來說，在有必要的位置獲得更多資訊、控制這些遷移都是非常重要的。

這裡，有三種工具特別能夠説明我們檢測和管理雲計算使用：

* URL過濾。 雖然大多數企業使用了已經過驗證的技術來控制諸如成人內容或未授權社交媒體服務等不當網路流覽，但是工具能夠輕易地檢測多種形式的雲計算訪問。 所有的雲計算服務能夠高效地把網路作為他們的主要管理介面來使用。 由於大多數API都是通過HTTP協定調用已知URL的，因此這類使用可以直接檢測到。 通過SPI層（即SaaS、PaaS、IaaS），這是可以實現的；由於其管理介面不同于那些只是連接託管服務網站的管理介面，你就不會受到過多誤報的困擾。 URL篩檢程式能夠為你提供一種使用管理平臺和API介面的良好感覺，至少能夠實現主要服務。

* 防資料丟失。 DLP並不太在意目標，而更多地關注內容。 所有完整的DLP工具都支援HTTP解析，甚至如果你支援平臺和配置，它還能分析SSL會話。 基本DLP規則應當能夠輕易地檢測到企業中的敏感性資料被傳送至雲計算或其它。 你可以通過統計背景內容（如目標）對雲計算特定資訊進行進一步調整。

* 資料庫活動監控。 很多人都對雇員在Google Docs上發佈一兩個檔不怎麼關心，而更多地關注開發人員把產品資料放到基於雲計算的開發環境中。 資料庫活動監控能夠檢測主要生產資料庫的活動，它可指示一個至內部或外部測試環境的潛在傳送操作。 無論何時你看到一個新的、大型資料的子集，你都需要查看一下。 如果該使用者也輸入了一個雲計算供應商的URL，那麼是時候進一步審查一下了。

這些只是基本的工具；可能有更多的其它工具可以説明你提高對雲計算使用和敏感資料移轉的檢測能力。 任何時候當你看到有人在雲計算服務管理主控台上輸入些什麼或生成大資料集合時，就應當立即引起警覺並查明是否發生了什麼。

(責任編輯：呂光)