流氓雲計算：拴住企業特定雲用例

過去的傳統IT組織，以一種有組織的、結構化的方式，使用所開發、獲取以及部署的系統，例如，所有員工使用的電子郵件，有些人使用的圖形設計工具，或者部門所使用的工資處理系統或者人力資源管理工具。

更重要的是，訪問這些系統通常是在IT經理和系統管理員的監控下。 想要安裝私人系統或者安裝公司收購的系統，必須通過IT「監測屏」後才能夠部署這些系統。 自IT早期以來，這種模式通常運行良好。

然而，雲計算的出現對這種模式提出了挑戰。 雲技術迅速發展並得到認可，為IT服務設計和部署帶來了一種全新模式：自己動手雲服務規劃和管理，現在已成為現實。

至少可以說，這種新的「流氓」雲使用模式，給IT安全領導帶來了很多麻煩。 沒有IT專業人士的專業知識和參與的情況下，為使用雲服務的非IT員工構建並運行IT系統，就是為各種潛在災難性的資訊安全場景創造條件。 本文中，我們將研究流氓雲的部署，包括為什麼要避免流氓雲，如何發現流氓雲部署以及如何有效地管理它們。

識別流氓雲用例問題

流氓雲用例，簡而言之，是指用於促進組織業務的基於雲的資源，在未經授權的情況下被擅自使用。 這種趨勢迅速發展的一個重要原因在於它繞過了IT組織，IT組織往往被視為實現新興業務流程的一個路障或阻礙。 而現在，無需花費高成本，簡單地就能夠使伺服器在雲中運轉，在企業IT結構的外部，啟動Web伺服器或者SharePoint;對使用者來說，意味著繞過了很多企業內部存在的繁文縟節。

然而，IT能夠提供並管理產品和服務的安全投資組合，流氓雲設施會對這種能力產生負面影響。 例如，不當配置的流氓雲安裝可能無法充分保護重要或敏感的業務資料，從而使其洩露到懂行的攻擊者手中。 或者更糟的是，攻擊者可能通過潛在的網路安全性漏洞，進入到公司的網路邊界——利用網路安全人員無法識別與控制的空缺，因為網路安全人員根本不了解雲實例。

《賽門鐵克2013避免雲隱性成本調查(pdf)》中解決的問題包含流氓雲系統。 全球IT組織中3200多人參與這項調查。 報告顯示，新增近三分之一的受訪者在其組織中部署流氓雲。 另一個涉及流氓雲使用的關鍵發現是資料備份問題。 據賽門鐵克稱，超過40%的受訪者在雲中資料丟失。 在這部分受訪者中，三分之二的人都無法成功恢復資料。

發現流氓雲部署

最可行的對策就是假設流氓雲設施已經存在。 因此開發各類程式——例如，利用現有的性能監控工具和雲服務提供者的監控支援——就能夠識別並確定可疑雲活動的來源。

口頭宣傳一直是發現特設雲使用的最簡單的方法。 精明的IT安全性群組織通常與整個組織的所有部門和關鍵人物聯繫密切。 理論上，這種連通性提供一個視窗，可以看到部門和個人使用者在做什麼，以及安全如何作為促進者支援他們的努力，而不是一種抑制劑。

網路監控同樣重要。 主動監測未經授權的雲使用，識別突變的網路流量模式，觀察可疑網路活動穿過入侵偵測/預防系統，或者發現資料存儲需求的異常變化，這些都可能會識別出潛在的流氓雲活動。 使用者與IT授權的供應商創建未經授權實例，供應商可能會發現使用異常(如那些服務水準之外的協定參數)，也可能是流氓活動。

管理流氓雲部署

假設你識別出了流氓雲活動，能夠抵制住誘惑，立即關閉。 如果不能的話，那麼確定流氓雲活動對IT操作產生什麼影響，具體地說，看它是否能在某種程度上協調組織能力、保護敏感性資料以及保留重要的IT資產安全。 一些未經授權的雲實例是沒有危害的，只是需要文檔。 一旦發現流氓雲活動，並且做了詳細調查，很明顯存在一些需考慮的安全風險，那麼必須通知高級管理層，並且要麼中止流氓雲安裝、妥善保護，要麼將流氓雲合併到現有的IT操作中。

另外，高層管理人員同意制定雲服務使用的政策，包括解決非IT和其他未經授權部署問題，解釋為什麼對公司不利，並詳述未能遵守政策的懲罰等的條款。 這些將有助於減少未來特設雲使用的可能性。

(責任編輯：蒙遺善)