盡管影子云威脅著企業安全，我們仍然有方法來降低風險并保護企業的系統和應用。

[[134289]]

隨著云計算、工作場所的BYOD以及消費電子設備的增加，對于IT部門來說要追蹤和管理軟件和硬件，并且同時要維護和保證一個環境的安全性變得越發困難。沒有IT直接干預或者IT對此毫不知情的那些員工使用的系統和應用被稱為影子IT。

云安全聯盟的2014云應用實踐和優先級調查強調了企業缺乏對影子云應用和服務控制的這一趨勢正在增長，并且這其中有很大比例的企業甚至沒有一個程序在那里管理這些應用和服務。我們知道這種狀況已經有一段時間了，McAfee(Intel Security)在2013年也開展了一個關于企業“影子軟件即服務(SaaS)”的調查，發現受訪者或者壓根沒有任何與SaaS應用使用相關的策略，或者根本不知道什么是自己不知道的。

影子云中潛在的威脅

影子云服務和資產可以導致很多問題和風險，包括：

時間、能源和投資的浪費：影子云容易導致傳統IT在時間、能源和投資上的浪費。如果員工使用未經批準的技術，浪費的會包括在核準的技術上的培訓，不觸及影子云的安全技術策略，審計和調查的不夠精確或者有效，由于未批準的技術而造成的事件及響應，所需的幫助臺和支持，以及繞過技術/安全控制等所有這些所花費的功夫。

低效：一個被影子云嚴重影響但卻經常被忽視的領域是流程開展和執行。對于正在努力開展和提高運營流程成熟度的組織，影子云將成為一個巨大的障礙。影子云可導致審計及審計有效性，庫存和配置管理流程和實踐，補丁和漏洞管理方案，整體流程效率的舉措，如六西格瑪，以及IT運營流程效率的低下。

數據丟失或泄漏：影子云容易造成數據的丟失或者泄露。當員工非法使用如Dropbox或其他的云服務來存儲敏感數據時，數據正在被存儲在組織外，并可能被暴露在一次云提供商的泄漏事件中。存儲在云中的任何數據或系統都易于成為對云提供商或其他租戶發起的攻擊對象。

未知漏洞：當系統和應用在未知的情況下被部署，他們沒有在系統或者任何應用程序清單中列出，很有可能沒有滿足配置和補丁管理的要求。影子云資產和應用還易于成為那些已經發布的但沒有被IT人員監控的漏洞的受害者，或者受到那些還沒有任何補丁或者修復的零日漏洞的影響。任何這些問題都可能導致潛在的風險提高，并且一個組織可能因為脆弱的影子云系統和應用程序的存在而使整個組織的風險狀況變得嚴重傾斜。

未知攻擊目標：與未知的漏洞相似，此類別側重于缺乏可靠的系統和數據清單。被清單遺漏的系統會很自然的成為攻擊的對象，特別是云服務，很容易幫助攻擊面擴大到一個很廣的范圍。

揭開影子云的迷霧

盡管有很多與影子云相關的風險，安全團隊可以使用一些策略來處理這些問題。組織可以采取的一些減輕風險的重要步驟包括：

策略和指導：安全策略必須要更精細，一方面受到業務流程的驅使，另一方面因為風險的關系。CISO必須向業務經理解釋基于風險的精細安全策略和對云實施的加強。反過來，業務經理在想要使用云服務的時候需要讓安全團隊了解業務流程應該如何和不應該如何運作。在策略上解決允許和禁止云服務的使用是控制影子云的第一步。

監控和訪問限制：監控進入云端的數據和流量對于檢測影子云的使用是很重要的。對內網，系統和數據的訪問限制也會對識別未知系統和應用有所幫助。一個好的出發點是對互聯網進行內容過濾(URL 過濾) ?，F在有Skyhigh Networks和Netskope這樣的廠商提供的特定云的內容和應用程序過濾，可以很方便的幫助監測和防止影子云的使用。即便一個組織選擇不完全限制訪問，監控和記錄日志可以幫助確定哪些正在被使用。在此基礎上可以產生決策以及對風險進行優先級規劃。

基礎架構控制：象防火墻規則、子網劃分、VLAN和ACL這樣的基本控制可以很有幫助。強化的系統配置，掃描和打補丁可以有助于在已知的云環境里防止未授權應用的安裝。

影子云突顯了其他業務需求

要整治影子云的使用可以是一個漫長而艱難的過程，這已經不是什么秘密。通常情況下，影子云標志著政治問題或業務需求差距需要在一個組織里得到解決，而盡可能提供更安全的選擇恰恰是信息安全所要做到的。幸運的是，有無數的工具和技術，可以對此提供幫助。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89057.htm