在企業采用云計算之前的一些不安全IT程序必須得到改進，以防止數據泄露和系統漏洞。

近年來，對IT管理人員來說最大的變化之一是云計算，這要求IT管理人員需要轉變他們在內部部署運行業務的思維方式。問題不在于云計算。畢竟，如果云計算供應商可以幫助IT管理人員維護服務器，工作量應該會減少。采用云計算揭露了業界一些過時的方法論，這推動了IT現代化。由于外部訪問受到限制，因此在云計算出現之前，許多IT部門的實踐并沒有那么嚴格。

[[282066]]

時代變遷和新技術推動信息技術現代化

當企業在內部部署數據中心開展業務時，添加精細控制的防火墻規則僅允許某些連接進出很容易。內部部署基于Web的應用程序不需要HTTPS——只是普通的HTTP可以正常工作。這似乎很難理解。企業網絡上的任何人都有權進入，因此數據是否加密都沒有關系。很多人表示，這種努力應對風險是不值得的，不必如此麻煩，反正用戶也不知道。

企業會找到不同的方法來限制威脅，例如可以采用802.1X，它只允許采用網絡上的授權設備。這降低了產生漏洞的可能性，因為網絡攻擊者既需要對網絡的物理訪問，又需要進入獲得批準的設備。而采用Active Directory可能會很混亂，它對帳戶管理和清理的態度很寬松，只要每個人都能做好自己的工作，這就沒問題。

前云時代允許許多捷徑，因為這些事情實施的方式影響業務的風險較小。進入新工作崗位的IT管理人員通常會從原來IT團隊得到一個爛攤子，因為并沒有動力進行清理，只希望保持那些現有的工作負載運行正?！，F在，通過云計算將企業的IT系統暴露給外界的風險越來越大，而繼續以同樣的方式做事已不再是一種可行的選擇。

使用微軟公司的Azure Active Directory時，默認配置就是有關云計算如何迫使IT更改的一個示例。除非企業應用過濾功能，否則此產品會將每個Active Directory對象同步到云平臺。官方文檔指出這是推薦的配置。而在幾年前在LinkedIn公司數據泄露期間泄露的每個密碼現在都在云中，可供任何人使用。這些賬戶從幾年前被人遺忘的混亂狀態變成了定時炸彈，網絡攻擊者可以成功登錄，同時能夠瀏覽大量用戶名和密碼組合的列表。

回到HTTP/HTTPS端，用戶現在希望在家中或可能有Internet連接的任何地方工作。他們還希望通過任何設備(例如筆記本電腦、手機或平板電腦)來實現這一目標。開放內部網站(而且在許多情況下仍然如此)曾經是突破防火墻并希望獲得最佳結果的情況。在未在加密的HTTP站點的情況下，從用戶看到的所有內容到用戶輸入的任何內容(例如用戶名和密碼)，其輸入和輸出的所有數據均會受到威脅。企業的用戶可以通過免費Wi-Fi連接進入。對于網絡攻擊者而言，建立偽造的中繼訪問點，監聽所有數據并讀取未加密的內容并不困難。

如何容納用戶并加強安全性

眾所周知，如果IT部門專注于讓用戶滿意而不是業務安全，那么很容易陷入高風險的境地。那么如何過渡到更安全的環境?IT管理人員需要立即采取一些行動：

• 清理Active Directory。審核帳戶，禁用未使用的帳戶，使帳戶清晰合理，并從頭到尾實施客戶管理流程。
• 查看企業的密碼策略。如果沒有其他保護措施，需要定期循環使用密碼，并提高一定程度的復雜性。查看其他用于增強保護的方法，例如Azure Active Directory提供的多因素身份驗證(MFA)，可以消除密碼循環。為了獲得更高的安全性，請將多因素身份驗證(MFA)與條件訪問結合使用，以便在受信任的網絡或使用受信任的設備中的用戶甚至都不需要多因素身份驗證(MFA)。
• 查看并報告帳戶使用情況。如果帳戶使用出現問題，應該盡快知道要采取糾正措施。諸如身份保護功能Azure Active Directory之類的技術會對可疑活動發出警報并進行補救，例如從該帳戶不典型的位置登錄。
• 在所有站點上實施HTTPS。IT人員不必為每個站點都購買證書即可啟用HTTPS。如果該站點僅用于可以在其上部署證書鏈的受信任計算機，則可以節省資金并自己生成它們。另一種選擇是購買通配符證書以便在任何地方使用。在部署證書之后，可以使用Azure Active Directory應用程序代理公開所需的站點，而不是在防火墻中打開端口。這具有強制用戶在進入內部站點之前強制Azure Active Directory登錄以應用MFA和身份保護的附加好處，而不管設備和物理位置如何。

這些IT管理人員的思維方式從內部部署更改為云計算時需要考慮的一些關鍵方面。這是對這些區域進行仔細查看的基本概述。而這些IT管理人員根據計劃使用的云計算服務，還需要考慮很多問題。