新技術給數據中心帶來新風險

隨著云數據中心技術變革步伐明顯加快，云數據中心所涉及的技術類型越來越多、越來越復雜，特別是物聯網、大數據、移動、社交以及SDN/NFV等（這個名單還會越來越長）等技術的應用給數據中心帶來了很大變化。

變化總是有風險的，而快速變化時風險更大，因為此時留給IT運維人員進行變更管理和變更技術檢查的時間就更少了。實際上，隨著云計算數據中心的不斷演進，常見的風險也在發生變化，而常規的那些用來保護數據中心安全的技術手段顯得越來越力不從心。

新技術帶來新風險

一些新技術應用會給數據中心帶來新的安全風險，物聯網技術就是其中之一。物聯網的設備通常很小，如果供應商不能找到一個現存的、經過充分測試的操作系統和相關軟件的話，它就只能自己為這些小設備開發軟件，而這就很可能導致安全威脅。

“攻擊者常常采用逆向工程軟件來對那些缺乏嚴格的代碼控制和代碼審計的軟件進行分析，從而發現其中的漏洞。”Rook公司信息安全分析師Mat Gangwer說。

這只是物聯網應用諸多漏洞中的一種，物聯網設備越多、設備類型越多，數據種類就越多，從設備到云數據中心的數據流量就越大，相應地管理什么設備能與另外一些設備進行通信、哪些設備可以接入數據中心也就越具有挑戰性。

“由于設備類型眾多，同時有多種操作系統并存，再加上物聯網設備本身的復雜性，企業很快就變得很難保證對這些設備的指揮和控制了。”Armor（原名FireHost）威脅情報部門總監Chase Cunningham博士說。

而實際上，企業在云數據中心中進行的創新并不只是物聯網應用，還經常會讓一些第三方的獨立軟件開發商來開發一些應用。這些開發者大多數會使用虛機（VM），VM的應用可以大大節省搭建軟件開發環境的時間，加快軟件交付。這是有利的一面，而不利的就是，很多時候當開發者完成了軟件項目后，這些開發環境和虛機沒有及時收回，還在那里空轉，白白消耗資源不說，還會因為開發工具或者平臺本身的安全漏洞給企業安全帶來不必要的風險，而管理員常常根本不知道它們的存在。

“那些服務器就放到那里等待運行指令，這就為那些不懷好意者提供了一個破壞和窺視企業安全漏洞的機會。”Cunningham說，“在過去幾年里已經有多次因為這方面的原因引發嚴重安全事件。”

而大數據的分析、處理以及后臺的基礎設施技術也可能存在安全漏洞。同樣，這些安全漏洞會給那些對這些軟件很熟悉的攻擊者以可乘之機，讓他們有機會進入公司IT系統內部。因為很多大數據的工具，如Hadoop和MapReduce等都是相對較新的軟件，還不太穩定，其版本號和代碼都在不斷變化之中，很容易出現安全漏洞，不少黑客們就趁機進入系統，盜取公司重要資產。

“對于這些黑客而言，這是一種非常好的進入企業IT系統的路徑，而一旦它們借此進入系統，就會給企業帶來很大威脅。”Cunningham說。

在網絡接口方面，面臨的安全風險也很大。現在，移動和社交都需要接入到云數據訪問后臺的服務和應用。隨著移動應用和社交應用的日益普遍，網絡攻擊者發現，通過移動設備和社交軟件上的漏洞進入云數據中心是一種非常可行的方式，一旦找到突破口，移動和社交軟件就變成了一個將數據導入黑客手中的工具了。

“黑客所需要的只是一個能接入企業IT系統的人，在他使用的社交和移動應用中植入惡意代碼就可以了，通過這段惡意代碼就能把企業數據同步到某個云盤中，然后這些數據就能為黑客所用了。他們不再需要入侵終端設備，也不需要突破安全掃描軟件，甚至無需使用釣魚郵件，就能達到目的。” Cunningham說。

移動應用并不是唯一不用費太多力氣就能獲得所需要東西的攻擊點，SDN和NFV也是。SDN和NFV把很多網絡控制的權利轉換到軟件的手中。在這些環境中，攻擊者只需要修改很少的幾行代碼就能拿到打開網絡王國的鑰匙，進而獲得所有資源。

Cunningham說，“如果他們愿意，通過虛擬路由或者虛擬交換機就可以把數據轉發到他們希望的任何地方，或者直接關閉數據轉發功能。”

在變化的環境中守護數據的安全

為了保護物聯網設備上的應用和它們生產和傳輸的數據，企業必須首先制定嚴格的控制策略和方法，來規范如何建立和部署與之相關的云資源。

比如，為了評估因為新技術應用而帶來的安全挑戰，企業必須首先建立然后不斷更新其所掌握的技術能力。除非企業明確知道變化是從哪里開始的，否則就不要匆忙采取行動。同時，公司還應該對每個設備如何進行通信進行分類，比如是通過藍牙還是Wi-Fi。

“如果你對自己的IT基礎設施沒有充分了解，就冒冒失失地向云基礎設施邁進，那在安全控制上你首先就失分了。”Cunningham說。

為了防止外包開發商在開發新的應用時可能給IT系統帶來不必要的安全威脅，企業應該知道其IT基礎設施在開發商進來之前、項目進行期間和之后分別是什么樣。這樣，企業就可以確保任何開發項目完成后不應該繼續存在的東西都被關閉、停用或者完全刪除，包括所有為支持開發工作而打開的端口、開啟的虛擬機以及登錄密碼等。

為了保護企業的無價之寶“大數據”的安全，企業還應該對那些常見的安全弱點進行保護，包括登錄屏幕和登錄密碼。比如，可以采用雙因素認證。另外監控也非常有用，特別是要監控那些異常的數據訪問。

另外，很多大數據技術為了實現開箱即用或者方便企業使用，默認開啟了很多不一定必需的端口。為了安全應該關閉那些不需要的端口，還要進行一些定制和配置。此外，大數據還會利用云數據的復制技術，把數據從一個數據中心移動到另一個數據中心。這就引出了數據是否加密傳輸的問題。比如，對于醫學數據就一定要采取加密傳輸。

實際上，不管攻擊者如何通過移動和社交進入企業IT系統，最終要使用數據，他們必須先得到數據。此時，數據防泄露工具（DLP）就可以發揮作用。在一個真正有效的安全技術組合中一般都會有一個專門為移動設備使用企業數據而設立的獨立空間，并要求雙因素身份驗證。

最后，為了確保企業選擇SDN和NFV等開源軟件中的漏洞盡可能少，要確保只使用那些行業中普遍使用的、有很好口碑的軟件。如果沒有驗證某段代碼或者某個SDN技術真正有用，就不應該在企業環境中使用。同時，企業還應該對IT系統進行入侵檢測，以確保只有認證過的訪問才被允許。