公共云很有吸引力,因为托管应用程序组件的基础架构和协调进程的底层部分是完全托管的,而且大部分是隐藏的,例如网络功能,Internet访问,安全性,存储,服务器和计算机虚拟化化学通过简单的用户界面或API可以轻松配置化学。通过使用与Internet隔离的专用网络来实现安全性。
云平台无处不在,越来越多地被使用。实际上,研究公司IDG在2018年对云计算的研究表明,73%的公司至少在云中放置了多个应用程序或部分基础设施。随着谷歌公司开始与微软和亚马逊竞争,公共云领域的竞争尤其激烈。
公司必须意识到公共云中存在潜在的安全漏洞
数字化转型是这种爆炸性增长的主要催化剂。通常,当某些工作负载转移到公共提供者(通常是不太重要的测试和开发环境)时,云采用就开始了。过了一段时间,非关键应用程序可以迁移,然后是存储(文件和数据库),然后是更大的部署。
公共云很有吸引力,因为托管应用程序组件的基础架构和协调进程的底层部分是完全托管的,而且大部分是隐藏的,例如网络功能,Internet访问,安全性,存储,服务器和计算机虚拟化化学通过简单的用户界面或API可以轻松配置化学。通过使用与Internet隔离的专用网络来实现安全性。
有关在公共云中托管的专用网络的信息并不安全。这是因为,即使您无法访问Internet,专用网络仍可以通过DNS进行通信。在大多数情况下,无需特定配置即可从发送到公共云基础架构的工作负载授予对DNS的完全访问权限。因此,默认情况下,大多数公共云提供商可以使用DNS隧道,DNS文件系统和数据泄漏。这不是一个安全漏洞,而是一个专用的集成功能,旨在帮助您无需服务工作负载即可访问云计算服务器,从而简化数字转换。这将允许任何公司处理所有可能的数据泄漏。
四种最可能的情况如下:
将恶意代码插入后端以执行DNS解析以提取数据。通常,访问是通过组织外部的标准方法获得的,例如SQL注入,堆栈溢出,已知漏洞和不安全API。
恶意代码被插入到一个广泛使用的库中,因此它会影响所有用户(例如供应链攻击),无论他们的语言如何(例如Java,Python和Node.js)。
公司中有权访问主机的人员可以修改/安装/开发使用DNS执行恶意操作的应用程序(联系命令和控件,插入数据或获取恶意软件内容)。开发人员插入不需要更改基础结构的特定代码,并使用DNS提取生产数据,事件或帐户信息。该代码将继续集成并测试质量门的一部分,并将在生产中自动实施。
那么,一个组织可以做些什么呢?——特别是在多个云服务中实现多级应用程序时?
首先,必须为存储在公共云中托管的专用网络中的任何业务信息实施专用DNS服务,即使它是临时的。专用DNS服务将允许组织过滤不应访问的可访问内容和内容。它还允许组织定期审核任何公共云环境中所需的云架构。这需要特定的识别云模型,这对大多数系统和网络架构师来说都是新的。大多数工作负载不需要完全访问全局Internet。但有时需要——例如,当公司的DevOps团队需要更新基础架构,安装包或依赖关系时,因为它简化了实现阶段。公司可以通过设计具有预建图像,专用网络和受控输入和输出通信的“不可变基础设施”来实现这一目标。他们还必须执行测试阶段,特别是因为云提供商的选项可以在没有集成的情况下进行更改。
其次,云计算提供商已经提出了专用网络解决方案来部署内部资源和后端服务,例如数据库,文件存储,特定计算和资金管理。这解决了数据保护(例如,GDPR法规),数据加密或仅仅是为了避免安全和监管问题,例如将应用程序的某些部分直接暴露于互联网。但是,最好在未连接到全局Internet的子网或网络上实施计算后端资源,这只能通过已知资源来完成。可以应用过滤规则来限制访问并遵守安全策略。
最后,确保在Cloud Composer中集成灵活的DDI解决方案(DNS-DHCP-IPAM)以简化配置。启用该服务后,DDI将自动推送配置中的相应记录。这不仅为组织节省了大量时间,还实施了有助于保护公共云实施的策略。
将应用程序移动到公共云或私有云是不可避免的。随着公司不断变革,云计算的使用将继续。但是,公司应该意识到公共云在安全性方面并非完全无用,并且不能假设涵盖所有角度。否则,云计算的便利性将给公司的数据带来不便。
中文
电话咨询
微信咨询
公众号
