云采用是許多組織實(shí)現(xiàn)IT現(xiàn)代化的催化劑

在企業(yè)采用云計(jì)算之前的一些不安全I(xiàn)T程序必須得到改進(jìn)，以防止數(shù)據(jù)泄露和系統(tǒng)漏洞。

近年來(lái)，對(duì)IT管理人員來(lái)說(shuō)大的變化之一是云計(jì)算，這要求IT管理人員需要轉(zhuǎn)變他們?cè)趦?nèi)部部署運(yùn)行業(yè)務(wù)的思維方式。問(wèn)題不在于云計(jì)算。畢竟，如果云計(jì)算供應(yīng)商可以幫助IT管理人員維護(hù)服務(wù)器，工作量應(yīng)該會(huì)減少。采用云計(jì)算揭露了業(yè)界一些過(guò)時(shí)的方法論，這推動(dòng)了IT現(xiàn)代化。由于外部訪問(wèn)受到限制，因此在云計(jì)算出現(xiàn)之前，許多IT部門的實(shí)踐并沒(méi)有那么嚴(yán)格。

時(shí)代變遷和新技術(shù)推動(dòng)信息技術(shù)現(xiàn)代化

當(dāng)企業(yè)在內(nèi)部部署數(shù)據(jù)中心開展業(yè)務(wù)時(shí)，添加精細(xì)控制的防火墻規(guī)則僅允許某些連接進(jìn)出很容易。內(nèi)部部署基于Web的應(yīng)用程序不需要HTTPS——只是普通的HTTP可以正常工作。這似乎很難理解。企業(yè)網(wǎng)絡(luò)上的任何人都有權(quán)進(jìn)入，因此數(shù)據(jù)是否加密都沒(méi)有關(guān)系。很多人表示，這種努力應(yīng)對(duì)風(fēng)險(xiǎn)是不值得的，不必如此麻煩，反正用戶也不知道。

企業(yè)會(huì)找到不同的方法來(lái)限制威脅，例如可以采用802.1X，它只允許采用網(wǎng)絡(luò)上的授權(quán)設(shè)備。這降低了產(chǎn)生漏洞的可能性，因?yàn)榫W(wǎng)絡(luò)攻擊者既需要對(duì)網(wǎng)絡(luò)的物理訪問(wèn)，又需要進(jìn)入獲得批準(zhǔn)的設(shè)備。而采用Active Directory可能會(huì)很混亂，它對(duì)帳戶管理和清理的態(tài)度很寬松，只要每個(gè)人都能做好自己的工作，這就沒(méi)問(wèn)題。

前云時(shí)代允許許多捷徑，因?yàn)檫@些事情實(shí)施的方式影響業(yè)務(wù)的風(fēng)險(xiǎn)較小。進(jìn)入新工作崗位的IT管理人員通常會(huì)從原來(lái)IT團(tuán)隊(duì)得到一個(gè)爛攤子，因?yàn)椴](méi)有動(dòng)力進(jìn)行清理，只希望保持那些現(xiàn)有的工作負(fù)載運(yùn)行正?！，F(xiàn)在，通過(guò)云計(jì)算將企業(yè)的IT系統(tǒng)暴露給外界的風(fēng)險(xiǎn)越來(lái)越大，而繼續(xù)以同樣的方式做事已不再是一種可行的選擇。

使用微軟公司的Azure Active Directory時(shí)，默認(rèn)配置就是有關(guān)云計(jì)算如何迫使IT更改的一個(gè)示例。除非企業(yè)應(yīng)用過(guò)濾功能，否則此產(chǎn)品會(huì)將每個(gè)Active Directory對(duì)象同步到云平臺(tái)。官方文檔指出這是推薦的配置。而在幾年前在LinkedIn公司數(shù)據(jù)泄露期間泄露的每個(gè)密碼現(xiàn)在都在云中，可供任何人使用。這些賬戶從幾年前被人遺忘的混亂狀態(tài)變成了定時(shí)炸彈，網(wǎng)絡(luò)攻擊者可以成功登錄，同時(shí)能夠?yàn)g覽大量用戶名和密碼組合的列表。

回到HTTP/HTTPS端，用戶現(xiàn)在希望在家中或可能有Internet連接的任何地方工作。他們還希望通過(guò)任何設(shè)備(例如筆記本電腦、手機(jī)或平板電腦)來(lái)實(shí)現(xiàn)這一目標(biāo)。開放內(nèi)部網(wǎng)站(而且在許多情況下仍然如此)曾經(jīng)是突破防火墻并希望獲得好結(jié)果的情況。在未在加密的HTTP站點(diǎn)的情況下，從用戶看到的所有內(nèi)容到用戶輸入的任何內(nèi)容(例如用戶名和密碼)，其輸入和輸出的所有數(shù)據(jù)均會(huì)受到威脅。企業(yè)的用戶可以通過(guò)免費(fèi)Wi-Fi連接進(jìn)入。對(duì)于網(wǎng)絡(luò)攻擊者而言，建立偽造的中繼訪問(wèn)點(diǎn)，監(jiān)聽所有數(shù)據(jù)并讀取未加密的內(nèi)容并不困難。

如何容納用戶并加強(qiáng)安全性

眾所周知，如果IT部門專注于讓用戶滿意而不是業(yè)務(wù)安全，那么很容易陷入高風(fēng)險(xiǎn)的境地。那么如何過(guò)渡到更安全的環(huán)境?IT管理人員需要立即采取一些行動(dòng)：

清理Active Directory。

審核帳戶，禁用未使用的帳戶，使帳戶清晰合理，并從頭到尾實(shí)施客戶管理流程。

查看企業(yè)的密碼策略。

如果沒(méi)有其他保護(hù)措施，需要定期循環(huán)使用密碼，并提高一定程度的復(fù)雜性。查看其他用于增強(qiáng)保護(hù)的方法，例如Azure Active Directory提供的多因素身份驗(yàn)證(MFA)，可以消除密碼循環(huán)。為了獲得更高的安全性，請(qǐng)將多因素身份驗(yàn)證(MFA)與條件訪問(wèn)結(jié)合使用，以便在受信任的網(wǎng)絡(luò)或使用受信任的設(shè)備中的用戶甚至都不需要多因素身份驗(yàn)證(MFA)。

查看并報(bào)告帳戶使用情況。

如果帳戶使用出現(xiàn)問(wèn)題，應(yīng)該盡快知道要采取糾正措施。諸如身份保護(hù)功能Azure Active Directory之類的技術(shù)會(huì)對(duì)可疑活動(dòng)發(fā)出警報(bào)并進(jìn)行補(bǔ)救，例如從該帳戶不典型的位置登錄。

在所有站點(diǎn)上實(shí)施HTTPS。

IT人員不必為每個(gè)站點(diǎn)都購(gòu)買證書即可啟用HTTPS。如果該站點(diǎn)僅用于可以在其上部署證書鏈的受信任計(jì)算機(jī)，則可以節(jié)省資金并自己生成它們。另一種選擇是購(gòu)買通配符證書以便在任何地方使用。在部署證書之后，可以使用Azure Active Directory應(yīng)用程序代理公開所需的站點(diǎn)，而不是在防火墻中打開端口。這具有強(qiáng)制用戶在進(jìn)入內(nèi)部站點(diǎn)之前強(qiáng)制Azure Active Directory登錄以應(yīng)用MFA和身份保護(hù)的附加好處，而不管設(shè)備和物理位置如何。

這些IT管理人員的思維方式從內(nèi)部部署更改為云計(jì)算時(shí)需要考慮的一些關(guān)鍵方面。這是對(duì)這些區(qū)域進(jìn)行仔細(xì)查看的基本概述。而這些IT管理人員根據(jù)計(jì)劃使用的云計(jì)算服務(wù)，還需要考慮很多問(wèn)題。