在企业采用云计算之前,必须改进一些不安全的信息技术程序,以防止数据泄露和系统漏洞。
近年来,对信息技术经理来说,最大的变化之一是云计算,它要求信息技术经理改变他们对内部部署和运营业务的想法。问题不在于云计算。毕竟,如果云计算提供商能够帮助信息技术经理维护服务器,工作量应该会减少。云计算的采用揭示了行业中一些过时的方法,促进了信息技术现代化。由于外部访问受到限制,在云计算出现之前,许多信息技术部门的做法并不那么严格。
时代变迁和新技术推动信息技术现代化
当企业内部部署数据中心开展业务时,很容易添加细粒度防火墙规则,只允许某些连接进出。基于网络的应用程序的本地部署不需要HTTPS——,但是普通的HTTP可以正常工作。这似乎很难理解。企业网络上的任何人都有权进入,所以数据是否加密并不重要。许多人说,这种应对风险的努力是不值得的,也不需要这么麻烦。用户无论如何也不知道。
企业会找到不同的方法来限制威胁,例如802.1X,它只允许网络上的授权设备。这降低了漏洞的可能性,因为网络攻击者既需要对网络的物理访问,也需要对批准的设备的访问。然而,活动目录的采用可能是混乱的。它对账户管理和清算持放松态度。只要每个人都能做好自己的工作,那就没问题。
前云时代允许许多捷径,因为这些东西的实现方式影响业务的风险较小。进入新工作岗位的信息技术经理通常会被原来的信息技术团队搞得一团糟,因为他们没有清理的动机,只想让现有的工作负载保持正常运行。现在,通过云计算将企业的信息技术系统暴露于外部世界的风险正在增加,继续以同样的方式做事不再是可行的选择。
当使用微软的Azure活动目录时,默认配置是云计算如何迫使信息技术改变的一个例子。除非企业应用过滤,否则该产品将使每个活动目录对象与云平台同步。官方文件表明这是推荐的配置。几年前领英数据泄露时泄露的每个密码现在都在云中,任何人都可以使用。这些账户已经从几年前被遗忘的混乱状态变成了定时炸弹。网络攻击者可以成功登录并浏览大量用户名和密码组合列表。
回到超文本传输协议/HTTPS,用户现在想在家里或任何有网络连接的地方工作。他们还希望通过任何设备(例如笔记本电脑、手机或平板电脑)来实现这一目标。开放内部网站(在许多情况下仍然如此)曾经是突破防火墙并希望获得最佳结果的一个例子。如果没有一个加密的网站,用户看到的所有数据输入和输出到用户输入的任何内容(如用户名和密码)都将受到威胁。企业用户可以通过免费无线连接进入。对于网络攻击者来说,建立假中继接入点、监控所有数据和读取未加密内容并不困难。
如何容纳用户并加强安全性
众所周知,如果信息技术部门专注于满足用户的需求,而不是业务安全,那么他们就容易面临高风险。那么,我们如何向更安全的环境过渡呢?信息技术经理需要立即采取一些行动:
清理Active Directory。信息技术人员不需要为每个站点购买证书来启用HTTPS。如果该站点仅用于可以部署证书链的可信计算机,您可以节省资金并自己生成证书链。另一种选择是购买通配符证书,以便在任何地方使用。部署证书后,您可以使用Azure活动目录应用程序代理公开所需的站点,而不是打开防火墙中的端口。这还有一个额外的好处,即强制用户在进入内部站点之前强制Azure活动目录登录应用MFA和身份保护,而不管设备和物理位置如何。
极牛网精选文章《云采用是许多组织实现IT现代化的催化剂》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4206.html