云計算的普及帶來了便捷也帶來了潛在的危機，人們在愉快的享受自助式云服務的時候，IT部門卻在擦汗，業(yè)務部門眼中快捷方便的自助式云服務很可能成為IT部門重點圍剿的“流氓云”，它讓企業(yè)后患無窮，CSO趕緊警惕起來！不管現(xiàn)在還是未來，早些認識它并防患于未然是必須的。

[[76455]]

傳統(tǒng)IT系統(tǒng)需要經(jīng)過開發(fā)、采購及部署三大環(huán)節(jié)才能真正投入使用，如全員應用的電子郵件系統(tǒng)、專供設計師個人用的圖形設計工具亦或人力資源部門用的薪酬處理系統(tǒng)或人力資源管理工具等等。

不論是全員應用還是以個人或部門為單位的應用，用戶們訪問系統(tǒng)的過程對IT管理者和系統(tǒng)管理員來說幾乎是透明的。要想在業(yè)務環(huán)境中安裝額外的系統(tǒng)，您就必須先要過IT監(jiān)控機制這一關(guān)。

這樣的控制模式在IT發(fā)展早期成效顯著。

但是，云計算來了，一種新的IT服務機制和部署模式應運而生！那就是：自助式云服務。

而對于IT安全領導者來說，這種新的云使用模式帶來諸多令人頭痛的大麻煩，他們稱它為“流氓云”，因為當缺乏IT專業(yè)知識的非IT員工利用云服務創(chuàng)建并運行自己的IT系統(tǒng)時，大量災難性信息安全威脅也會接踵而至。

那么為何“流氓云”的危害如此嚴重？如何及時將其發(fā)現(xiàn)？又如何對其進行有效的管理？下面我們來共同討論。

定義“流氓云”

簡要來說，“流氓云”就是擅自利用云資源來實現(xiàn)組織業(yè)務。這一趨勢興盛并迅速蔓延的主要原因在于：云服務很容易避開IT部門的監(jiān)控，而很多員工將此視為跨越技術(shù)障礙、實現(xiàn)新興業(yè)務流程的首選方案。

如今只需啟動一臺Web服務器或者SharePoint即可以低成本方式輕松實現(xiàn)云服務，而這種來自外部的資源體系能有效規(guī)避IT人士的核審、擺脫企業(yè)內(nèi)部令人煩躁的批準流程，何樂而不為呢？

然而一旦“流氓云”安裝完成，它們的存在往往會影響到IT部門提供并管理安全系統(tǒng)的能力。舉例來說，配置不當?shù)?ldquo;流氓云”可能導致重要或敏感的業(yè)務數(shù)據(jù)缺乏充分保護，從而暴露在攻擊者面前。更糟的是，“流氓云”的出現(xiàn)還可能遺留下潛在的網(wǎng)絡安全漏洞，并成為攻擊者長期滲透企業(yè)內(nèi)部網(wǎng)絡的跳板。最可怕的是，網(wǎng)絡安全團隊根本無法對此加以識別與控制，因為他們并不知道這個云服務的存在。

“流氓云系統(tǒng)”已經(jīng)成為《賽門鐵克2013年云隱性成本規(guī)避報告》中亟待解決的難題之一。這份報告匯總了超過3200名世界各地IT從業(yè)人員的意見，其中近三分之一的受訪者稱“流氓云部署”在其企業(yè)內(nèi)正持續(xù)升溫。另一項重要發(fā)現(xiàn)則與“流氓云”的數(shù)據(jù)備份機制有關(guān)，據(jù)賽門鐵克稱，超過40%的受訪者經(jīng)歷過云數(shù)據(jù)丟失，而且其中三分之二遭遇過數(shù)據(jù)恢復失敗的窘境。

找尋“流氓云”部署

最現(xiàn)實的應對策略就是假設“流氓云”已經(jīng)存在。因此，制定一系列相關(guān)流程，將現(xiàn)有監(jiān)控工具與云服務供應商的監(jiān)控支持結(jié)合起來，用于識別并檢測可疑云活動的起源就變得至關(guān)重要。

口口相傳是了解臨時云使用的最便捷方式。睿智的IT安全機構(gòu)通常會與整個企業(yè)中的所有部門及關(guān)鍵業(yè)務負責人保持聯(lián)系。在理想狀況下，這種溝通機制將成為安全團隊與普通部門及員工之間的交流窗口，幫助前者了解后者的使用情況、從而制定出符合需求的安全改進方案，而非對其積極性加以一味打壓。

網(wǎng)絡監(jiān)控的重要性同樣不容忽視。主動監(jiān)控未授權(quán)云的使用情況、關(guān)注網(wǎng)絡流量模式的突然改變、觀察越過入侵檢測/防御系統(tǒng)的可疑網(wǎng)絡活動或者測定對數(shù)據(jù)存儲需求的異常變化，這一切都能幫助我們成功識別“流氓云”活動的存在。如果用戶在未經(jīng)許可的情況下擅自使用來自授權(quán)供應商的實例，那么供應商應該能夠發(fā)現(xiàn)使用中的異常狀況（例如不符合服務水平協(xié)議的使用實例），從而揪出“流氓”活動。

管理“流氓云部署”

如果大家已經(jīng)成功發(fā)現(xiàn)“流氓云”活動，請千萬不要馬上將其關(guān)閉。相反，我們應該先了解它對于現(xiàn)有IT業(yè)務的干擾——尤其是掌握它會對企業(yè)保護敏感數(shù)據(jù)產(chǎn)生何種影響。某些未經(jīng)授權(quán)的云實例其實是屬于良性機制，其與合規(guī)方案相比只缺少一份認證文檔而已。一旦識別與調(diào)查工作完成，接下來要考慮的就是安全風險。我們必須向企業(yè)高管發(fā)出通知，而“流氓云”也需被立即中止，并且合并到現(xiàn)有IT體系當中。

另外，說服高管層建立“云服務使用政策”，包括對非IT及其它未經(jīng)授權(quán)部署的處理規(guī)定，向他們解釋為什么“流氓云”可能破解公司機密并制定詳盡的處罰條例。這將有助于減少未來出現(xiàn)其它“流氓云部署”的可能性。