任何IT組織的首要目標(biāo)都應(yīng)該是讓戰(zhàn)略和業(yè)務(wù)保持一致。在現(xiàn)實(shí)世界中，IT團(tuán)隊(duì)同業(yè)務(wù)部門協(xié)商，并開發(fā)出圍繞業(yè)務(wù)需求的清晰戰(zhàn)略。業(yè)務(wù)部門隨后等待預(yù)算審批，基礎(chǔ)架構(gòu)構(gòu)建以及安全和法規(guī)遵從控制的實(shí)現(xiàn)。整個(gè)流程會(huì)發(fā)費(fèi)數(shù)周、數(shù)月或者數(shù)年，而且還是沒能滿足業(yè)務(wù)部門的期望。

如果業(yè)務(wù)部門發(fā)現(xiàn)且實(shí)施技術(shù)，沒有IT的參與會(huì)怎么樣呢?一般業(yè)務(wù)部門能否精準(zhǔn)定義私有信息放入云端的風(fēng)險(xiǎn)嗎?這正是IT安全部門面對的現(xiàn)實(shí)。易用的云服務(wù)非常多，要求能夠解決的任何業(yè)務(wù)問題，只是通過點(diǎn)擊一下鼠標(biāo)。IT安全部門必須在公司成為數(shù)據(jù)外泄新聞?lì)^條之前，以某種方法檢測這些服務(wù)并證明身份識別的價(jià)值以及減輕與業(yè)務(wù)相關(guān)的風(fēng)險(xiǎn)。

好消息在于有很多可用的工具能夠減輕基于云的服務(wù)的風(fēng)險(xiǎn)，包括這樣的一些功能，預(yù)服務(wù)、聯(lián)合身份認(rèn)證和管理虛擬基礎(chǔ)架構(gòu)。壞消息在于沒有足夠的產(chǎn)品能夠監(jiān)控或者阻止未認(rèn)證的云服務(wù)的使用。然而，企業(yè)可以使用現(xiàn)有的安全技術(shù)和控制協(xié)助迅猛的云服務(wù)大潮。

使用已有工具監(jiān)控云服務(wù)

監(jiān)控和檢測云服務(wù)的第一種方法就是利用目前現(xiàn)有的投資，主要是網(wǎng)絡(luò)過濾、下一代防火墻或者數(shù)據(jù)丟失保護(hù)(DLP)產(chǎn)品。這些系統(tǒng)已經(jīng)存在于網(wǎng)絡(luò)中，組織包含私有信息的流量或者檢測訪問不適當(dāng)?shù)木W(wǎng)站。DLP系統(tǒng)尤其有用，由于它們可以使用中間人技術(shù)監(jiān)控SS了加密的流量。DLP和網(wǎng)絡(luò)過濾系統(tǒng)可能已經(jīng)定義了配置來檢測或者存取對于基于云的文件共享網(wǎng)站的訪問，比如 Dropbox和Google Drive。這些定義文件需要修改才能允許其他潛在基于云的服務(wù)的檢測。

有好多云服務(wù)的注冊提及能夠協(xié)助構(gòu)建自定制定義，無論是對于DLP還是網(wǎng)絡(luò)過濾系統(tǒng)。然而，用這些注冊構(gòu)建自定制定義屬于勞動(dòng)密集型工作，因?yàn)橛泻芏酀撛诘脑铺峁┥炭梢赃x擇。為了讓這條途徑變得容易，優(yōu)先考慮關(guān)注業(yè)務(wù)最可能使用的云提供商。安全軟件廠商最可能添加的云提供商注冊到未來DLP或者網(wǎng)絡(luò)過濾產(chǎn)品中的，但是同時(shí)，檢測仍舊是一種人工流程。

如果安全團(tuán)隊(duì)預(yù)算有限，無法訪問這種類型的工具，也有其他更好的開源選擇。對于很多受限于預(yù)算的安全專業(yè)人士來說工具的選擇就是入侵檢測系統(tǒng)(IDS)Snort，開源版本，包括可以運(yùn)行任何舊的PC到第一類IDS機(jī)器的免費(fèi)規(guī)則。Snort真正厲害的地方在于其能夠輕松增加自定制規(guī)則來符合環(huán)境。這個(gè)規(guī)則通常被插入本地規(guī)則文件，包含在默認(rèn)的Snort安裝中。

下面一個(gè)自定制Snort規(guī)則示例，能夠用于檢測對于Rackspace的訪問：

Alert tcp any any -> 67.192.1.7 any

這條規(guī)則能夠在任何端口上檢測任何端口對于IT地址67.192.1.7的任何TCP訪問。這條IP地址映射了Rackspace服務(wù)的管理門戶。以這種方式配置Snort對IT團(tuán)隊(duì)提出提示的是，無論什么時(shí)候員工內(nèi)部網(wǎng)絡(luò)訪問Packspace門戶來管理基于云的服務(wù)。

記住同業(yè)務(wù)部門共事

下一代防火墻、網(wǎng)絡(luò)過濾、DLP和IDS系統(tǒng)都是監(jiān)測訪問基于云的服務(wù)的很好的工具。然而，他們都是內(nèi)聯(lián)工具，假設(shè)用戶從企業(yè)內(nèi)部訪問互聯(lián)網(wǎng)連接。如果用戶用移動(dòng)設(shè)備在自己的互聯(lián)網(wǎng)連接中訪問未批準(zhǔn)的基于云的服務(wù)，IT必須使用不同的方法來檢測。

IT安全團(tuán)隊(duì)需要同業(yè)務(wù)部門合作來教育用戶使用未批準(zhǔn)的云服務(wù)的風(fēng)險(xiǎn)，并圍繞構(gòu)建和管理構(gòu)建強(qiáng)有力的策略。這種方法的價(jià)值永遠(yuǎn)不會(huì)被看輕。這些基于云的服務(wù)正在成為業(yè)務(wù)的一大項(xiàng)花銷，因此財(cái)務(wù)控制也應(yīng)該創(chuàng)建。財(cái)務(wù)控制可以輕松實(shí)現(xiàn)，以為內(nèi)他們更加敏感且相對于潛在風(fēng)險(xiǎn)場景更易于對業(yè)務(wù)部門解釋。這些控制應(yīng)該包括要求IT回顧的策略，財(cái)務(wù)和法律。創(chuàng)建這樣的合作伙伴關(guān)系也將協(xié)助重構(gòu)搖擺不定的IT業(yè)務(wù)戰(zhàn)略，讓二者保持一致，因?yàn)闃I(yè)務(wù)部門在IT部門之外購買東西。

用戶在企業(yè)中訪問未批準(zhǔn)的云服務(wù)的問題，很可能隨著云應(yīng)用成為更加可負(fù)擔(dān)且為廣大用戶可訪問的服務(wù)而逐漸增長，IT安全團(tuán)隊(duì)?wèi)?yīng)該考慮在成熟企業(yè)中利用已有的工具。限制后續(xù)資金對于新技術(shù)的需要，最好的選擇就是解決這個(gè)問題，包括構(gòu)建IT業(yè)務(wù)之間的關(guān)系，是值得在這個(gè)問題之外奮斗的事情。