| 当系统管理员面对微软Azure的安全性时,他们最常拿出的解决方案有加密、监控/记录、访问控制以及威胁管理等。不错,这些领域是云安全的盾牌。撇开系统设计和安全管理最佳实践,保持一个弹性的Azure环境远不仅仅是这些核心概念。 |
当系统管理员面对微软Azure的安全性时,他们最常拿出的解决方案有加密、监控/记录、访问控制以及威胁管理等。不错,这些领域是云安全的盾牌。撇开系统设计和安全管理最佳实践,保持一个弹性的Azure环境远不仅仅是这些核心概念。经常被忽视的一件事就是通过漏洞扫描和渗透测试进行适当的安全审查。如果没有这些实践,也就没有办法知道Azure环境是否能够承受攻击。
在很多情况下,那些对企业信息安全负责的员工对此相关问题很是放心,因为这是“微软的云”啊。大家普遍认为,微软好大家就好。但是假想一下,微软在对自己的Azure做渗透测试时发现了问题但是不通知我们呢?来看看微软在Azure网站上的声明:
"微软通过执行常规的渗透测试来改善Azure安全控制和流程。我们明白,安全评估对于我们客户的应用程序开发和部署也是非常重要的一部分。"
也就是说,微软留给最终用户去确保自己的系统是否满足自己的安全需求。从微软那一样令人印象深刻的已证实的行业标准列表非常符合全球标准的情况来看,检查系统和应用程序就是你自己的工作了。数据中心安全标志是一回事,但服务器和应用程序的缺陷是另一回事。如果回顾那些已经被发现的漏洞,你会发现这些漏洞的发生几乎与组织是否有某个基本安全策略或行业标准没有关系。相反,要么是因为他们的安全政策或标准并未在实际场景中执行,要么是不为人知的技术漏洞成了漏网之鱼。
不难看到,与Azure云环境(或亚马逊等等)的高度兼容充斥着技术安全漏洞,其中大部分将影响所有其他高级数据中心和操作安全控制。在这些预设有弹性的云环境中,我见过的漏洞以下:
由于缺乏应用程序输入验证引发SQL注入攻击
脆弱的web应用程序密码
缺失以及容易被利用的Web服务器补丁
缺乏监控、报警和对攻击的实时阻止
如果这些Azure环境是安全的,因为它们的“兼容”,那么谁来留心真正造成问题的缺陷呢?答案往往是没有人。影子IT除外,许多大企业能够掌控安全测试,但是中型和小型组织通常达不到这个程度。
你不会知道那些你不知道的事情。必须对云环境实施合理的安全审查,这是不可推卸的责任。不仅仅要许愿表达、立下承诺和书写文书,而是要让周而复始的云安全计划获得微软许可,然后测试缺陷。现在就动手吧,几个月后再做一次,然后就这样定期和持续向前发展,在黑客犯罪之前找到漏洞。