物联网、大数据、移动、社交以及SDN/NFV等技术的应用,给数据中心安全带来新的挑战,需要新的应对方法。
随着云数据中心技术变革步伐明显加快,云数据中心所涉及的技术类型越来越多、越来越复杂,特别是物联网、大数据、移动、社交以及SDN/NFV等(这个名单还会越来越长)等技术的应用给数据中心带来了很大变化。
变化总是有风险的,而快速变化时风险更大,因为此时留给IT运维人员进行变更管理和变更技术检查的时间就更少了。实际上,随着云计算数据中心的不断演进,常见的风险也在发生变化,而常规的那些用来保护数据中心安全的技术手段显得越来越力不从心。
新技术带来新风险
一些新技术应用会给数据中心带来新的安全风险,物联网技术就是其中之一。物联网的设备通常很小,如果供应商不能找到一个现存的、经过充分测试的操作系统和相关软件的话,它就只能自己为这些小设备开发软件,而这就很可能导致安全威胁。
“攻击者常常采用逆向工程软件来对那些缺乏严格的代码控制和代码审计的软件进行分析,从而发现其中的漏洞。”Rook公司信息安全分析师Mat Gangwer说。
这只是物联网应用诸多漏洞中的一种,物联网设备越多、设备类型越多,数据种类就越多,从设备到云数据中心的数据流量就越大,相应地管理什么设备能与另外一些设备进行通信、哪些设备可以接入数据中心也就越具有挑战性。
“由于设备类型众多,同时有多种操作系统并存,再加上物联网设备本身的复杂性,企业很快就变得很难保证对这些设备的指挥和控制了。”Armor(原名FireHost)威胁情报部门总监Chase Cunningham博士说。
而实际上,企业在云数据中心中进行的创新并不只是物联网应用,还经常会让一些第三方的独立软件开发商来开发一些应用。这些开发者大多数会使用虚机(VM),VM的应用可以大大节省搭建软件开发环境的时间,加快软件交付。这是有利的一面,而不利的就是,很多时候当开发者完成了软件项目后,这些开发环境和虚机没有及时收回,还在那里空转,白白消耗资源不说,还会因为开发工具或者平台本身的安全漏洞给企业安全带来不必要的风险,而管理员常常根本不知道它们的存在。
“那些服务器就放到那里等待运行指令,这就为那些不怀好意者提供了一个破坏和窥视企业安全漏洞的机会。”Cunningham说,“在过去几年里已经有多次因为这方面的原因引发严重安全事件。”
而大数据的分析、处理以及后台的基础设施技术也可能存在安全漏洞。同样,这些安全漏洞会给那些对这些软件很熟悉的攻击者以可乘之机,让他们有机会进入公司IT系统内部。因为很多大数据的工具,如Hadoop和MapReduce等都是相对较新的软件,还不太稳定,其版本号和代码都在不断变化之中,很容易出现安全漏洞,不少黑客们就趁机进入系统,盗取公司重要资产。
“对于这些黑客而言,这是一种非常好的进入企业IT系统的路径,而一旦它们借此进入系统,就会给企业带来很大威胁。”Cunningham说。
在网络接口方面,面临的安全风险也很大。现在,移动和社交都需要接入到云数据访问后台的服务和应用。随着移动应用和社交应用的日益普遍,网络攻击者发现,通过移动设备和社交软件上的漏洞进入云数据中心是一种非常可行的方式,一旦找到突破口,移动和社交软件就变成了一个将数据导入黑客手中的工具了。
“黑客所需要的只是一个能接入企业IT系统的人,在他使用的社交和移动应用中植入恶意代码就可以了,通过这段恶意代码就能把企业数据同步到某个云盘中,然后这些数据就能为黑客所用了。他们不再需要入侵终端设备,也不需要突破安全扫描软件,甚至无需使用钓鱼邮件,就能达到目的。” Cunningham说。
移动应用并不是唯一不用费太多力气就能获得所需要东西的攻击点,SDN和NFV也是。SDN和NFV把很多网络控制的权利转换到软件的手中。在这些环境中,攻击者只需要修改很少的几行代码就能拿到打开网络王国的钥匙,进而获得所有资源。
Cunningham说,“如果他们愿意,通过虚拟路由或者虚拟交换机就可以把数据转发到他们希望的任何地方,或者直接关闭数据转发功能。”
在变化的环境中守护数据的安全
为了保护物联网设备上的应用和它们生产和传输的数据,企业必须首先制定严格的控制策略和方法,来规范如何建立和部署与之相关的云资源。
比如,为了评估因为新技术应用而带来的安全挑战,企业必须首先建立然后不断更新其所掌握的技术能力。除非企业明确知道变化是从哪里开始的,否则就不要匆忙采取行动。同时,公司还应该对每个设备如何进行通信进行分类,比如是通过蓝牙还是Wi-Fi。
“如果你对自己的IT基础设施没有充分了解,就冒冒失失地向云基础设施迈进,那在安全控制上你首先就失分了。”Cunningham说。
为了防止外包开发商在开发新的应用时可能给IT系统带来不必要的安全威胁,企业应该知道其IT基础设施在开发商进来之前、项目进行期间和之后分别是什么样。这样,企业就可以确保任何开发项目完成后不应该继续存在的东西都被关闭、停用或者完全删除,包括所有为支持开发工作而打开的端口、开启的虚拟机以及登录密码等。
为了保护企业的无价之宝“大数据”的安全,企业还应该对那些常见的安全弱点进行保护,包括登录屏幕和登录密码。比如,可以采用双因素认证。另外监控也非常有用,特别是要监控那些异常的数据访问。
另外,很多大数据技术为了实现开箱即用或者方便企业使用,默认开启了很多不一定必需的端口。为了安全应该关闭那些不需要的端口,还要进行一些定制和配置。此外,大数据还会利用云数据的复制技术,把数据从一个数据中心移动到另一个数据中心。这就引出了数据是否加密传输的问题。比如,对于医学数据就一定要采取加密传输。
实际上,不管攻击者如何通过移动和社交进入企业IT系统,最终要使用数据,他们必须先得到数据。此时,数据防泄露工具(DLP)就可以发挥作用。在一个真正有效的安全技术组合中一般都会有一个专门为移动设备使用企业数据而设立的独立空间,并要求双因素身份验证。
最后,为了确保企业选择SDN和NFV等开源软件中的漏洞尽可能少,要确保只使用那些行业中普遍使用的、有很好口碑的软件。如果没有验证某段代码或者某个SDN技术真正有用,就不应该在企业环境中使用。同时,企业还应该对IT系统进行入侵检测,以确保只有认证过的访问才被允许。
