云平臺無處不在，并且應(yīng)用越來越廣泛。事實(shí)上，調(diào)研機(jī)構(gòu)IDG公司2018年的云計算研究表明，73%的企業(yè)已將至少多個應(yīng)用程序或部分基礎(chǔ)設(shè)施置于云中。隨著谷歌公司開始與微軟和亞馬遜展開競爭，公共云領(lǐng)域的競爭目前尤其激烈。

[[263330]]

數(shù)字化轉(zhuǎn)型是這場爆炸式增長的主要催化劑。通常，當(dāng)一些工作負(fù)載轉(zhuǎn)移到公共提供者(通常是不太重要的開發(fā)和測試環(huán)境)時，云采用就開始了。過了一段時間，非關(guān)鍵應(yīng)用程序可能會遷移，然后是存儲(文件和數(shù)據(jù)庫)，然后是更大的部署。

公共云之所以具有吸引力，是因?yàn)槌休d應(yīng)用程序組件的基礎(chǔ)設(shè)施和協(xié)調(diào)過程的基礎(chǔ)部分是完全管理的，而且大部分是隱藏的，例如網(wǎng)絡(luò)功能、互聯(lián)網(wǎng)訪問、安全、存儲、服務(wù)器和計算虛擬化。一切都可以通過簡單的用戶界面或API輕松配置。安全是通過使用與國際互聯(lián)網(wǎng)隔離的專用網(wǎng)絡(luò)來實(shí)施的。

有關(guān)在公共云中托管的專用網(wǎng)絡(luò)的信息并不安全。這是因?yàn)榧词箾]有訪問互聯(lián)網(wǎng)，私有網(wǎng)絡(luò)仍然可以通過DNS與之通信。大多數(shù)情況下，無需特定配置即可從推送到公共云基礎(chǔ)設(shè)施的工作負(fù)載獲得完整的DNS訪問權(quán)限。因此，默認(rèn)情況下，大多數(shù)公共云提供商都可以使用DNS隧道、DNS文件系統(tǒng)和數(shù)據(jù)泄露。這不是一個安全缺陷，而是一個專門內(nèi)置的功能，主要用于幫助需要訪問云計算服務(wù)器無需服務(wù)的工作負(fù)載，以簡化數(shù)字化轉(zhuǎn)型。這這將使任何業(yè)務(wù)都能夠應(yīng)對各種可能的數(shù)據(jù)泄漏。

最可能出現(xiàn)的四種情況如下：

1. 將惡意代碼插入后端以執(zhí)行DNS解析以提取數(shù)據(jù)。通常，通過組織外部的標(biāo)準(zhǔn)方法(如SQL注入、堆溢出、已知漏洞和不安全的API)獲取訪問權(quán)限。
2. 惡意代碼被插入到一個廣泛使用的庫中，因此它會影響所有用戶(例如供應(yīng)鏈攻擊)，而不考慮其是什么語言(例如Java、Python和Node.js)。
3. 企業(yè)內(nèi)有權(quán)訪問主機(jī)的人員可以修改/安裝/開發(fā)使用DNS執(zhí)行惡意操作的應(yīng)用程序(聯(lián)系命令和控制、推送數(shù)據(jù)或獲取惡意軟件內(nèi)容)。
4. 開發(fā)人員插入特定代碼，該代碼不需要更改基礎(chǔ)設(shè)施，并使用DNS提取生產(chǎn)數(shù)據(jù)、事件或帳戶信息。代碼將通過持續(xù)集成和測試部分的質(zhì)量門，并自動部署到生產(chǎn)中。

那么，組織可以做些什么——特別是當(dāng)它在多個云服務(wù)上部署多層次應(yīng)用程序時?

首先，應(yīng)該為存儲在公共云托管的私有網(wǎng)絡(luò)上的任何業(yè)務(wù)信息部署專用DNS服務(wù)，即使它是臨時的。專用DNS服務(wù)將允許組織篩選可訪問的內(nèi)容和不應(yīng)訪問的內(nèi)容。它還允許組織定期審計云架構(gòu)，這在任何公共云環(huán)境中都是都是必需的。這需要特定的識別云模式，這對大多數(shù)系統(tǒng)和網(wǎng)絡(luò)架構(gòu)師來說都是新的。大多數(shù)工作負(fù)載不需要完全訪問全球互聯(lián)網(wǎng)。但有時它是必要的——例如，當(dāng)企業(yè)的DevOps團(tuán)隊(duì)需要更新基礎(chǔ)設(shè)施、安裝包或依賴項(xiàng)時，因?yàn)樗喕瞬渴痣A段。企業(yè)可以通過設(shè)計一個“不可變的基礎(chǔ)設(shè)施”來實(shí)現(xiàn)這一點(diǎn)，該基礎(chǔ)設(shè)施具有預(yù)構(gòu)建的圖像、專用網(wǎng)絡(luò)和受控的入站和出站通信。他們還應(yīng)該執(zhí)行測試階段，特別是因?yàn)樵朴嬎闾峁┥痰倪x項(xiàng)可能會在不集成的情況下發(fā)生變化。

其次，云計算提供商提出了部署內(nèi)部資源和后端服務(wù)(如數(shù)據(jù)庫、文件存儲、特定計算、后臺管理)的專用網(wǎng)絡(luò)解決方案。這解決了數(shù)據(jù)保護(hù)(例如，GDPR法規(guī))、數(shù)據(jù)加密或只是為了阻止應(yīng)用程序的某些部分直接暴露于互聯(lián)網(wǎng)等安全和監(jiān)管問題。然而，更好的做法是在未連接到全球互聯(lián)網(wǎng)的子網(wǎng)或網(wǎng)絡(luò)上部署計算后端資源，而這只能由已知的資源實(shí)現(xiàn)。然后，可以強(qiáng)制執(zhí)行篩選規(guī)則以限制訪問并遵守安全策略。

第三，確保在云計算編排器中集成靈活的DDI(DNS-DHCP-IPAM)解決方案，以簡化配置。啟用該服務(wù)后，DDI將自動在配置中推送適當(dāng)?shù)挠涗洝＿@不僅可以為組織節(jié)省大量時間，還可以實(shí)施有助于保護(hù)公共云部署的策略。

將應(yīng)用程序移動到公共云或私有云是不可避免的。隨著企業(yè)不斷自我轉(zhuǎn)型，云計算的使用也將隨之而來。但是，企業(yè)需要意識到，公共云在安全性方面并非一無是處，并且不能假定涵蓋了所有角度。否則，云計算的便利性會給企業(yè)的數(shù)據(jù)帶來不便。