过去的传统IT组织，以一种有组织的、结构化的方式，使用所开发、获取以及部署的系统，例如，所有员工使用的电子邮件，有些人使用的图形设计工具，或者部门所使用的工资处理系统或者人力资源管理工具。

    更重要的是，访问这些系统通常是在IT经理和系统管理员的监控下。想要安装私人系统或者安装公司收购的系统，必须通过IT“监测屏”后才能够部署这些系统。自IT早期以来，这种模式通常运行良好。

    然而，云计算的出现对这种模式提出了挑战。云技术迅速发展并得到认可，为IT服务设计和部署带来了一种全新模式：自己动手云服务规划和管理，现在已成为现实。

    至少可以说，这种新的“流氓”云使用模式，给IT安全领导带来了很多麻烦。没有IT专业人士的专业知识和参与的情况下，为使用云服务的非IT员工构建并运行IT系统，就是为各种潜在灾难性的信息安全场景创造条件。本文中，我们将研究流氓云的部署，包括为什么要避免流氓云，如何发现流氓云部署以及如何有效地管理它们。

    识别流氓云用例问题

    流氓云用例，简而言之，是指用于促进组织业务的基于云的资源，在未经授权的情况下被擅自使用。这种趋势迅速发展的一个重要原因在于它绕过了IT组织，IT组织往往被视为实现新兴业务流程的一个路障或阻碍。而现在，无需花费高成本，简单地就能够使服务器在云中运转，在企业IT结构的外部，启动Web服务器或者SharePoint;对用户来说，意味着绕过了很多企业内部存在的繁文缛节。

    然而，IT能够提供并管理产品和服务的安全投资组合，流氓云设施会对这种能力产生负面影响。例如，不当配置的流氓云安装可能无法充分保护重要或敏感的业务数据，从而使其泄露到懂行的攻击者手中。或者更糟的是，攻击者可能通过潜在的网络安全漏洞，进入到公司的网络边界——利用网络安全人员无法识别与控制的空缺，因为网络安全人员根本不了解云实例。

    《赛门铁克2013避免云隐性成本调查（pdf）》中解决的问题包含流氓云系统。全球IT组织中3200多人参与这项调查。报告显示，新增近三分之一的受访者在其组织中部署流氓云。另一个涉及流氓云使用的关键发现是数据备份问题。据赛门铁克称，超过40%的受访者在云中数据丢失。在这部分受访者中，三分之二的人都无法成功恢复数据。

    发现流氓云部署

    最可行的对策就是假设流氓云设施已经存在。因此开发各类程序——例如，利用现有的性能监控工具和云服务提供商的监控支持——就能够识别并确定可疑云活动的来源。

    口头宣传一直是发现特设云使用的最简单的方法。精明的IT安全组织通常与整个组织的所有部门和关键人物联系密切。理论上，这种连通性提供一个窗口，可以看到部门和个人用户在做什么，以及安全如何作为促进者支持他们的努力，而不是一种抑制剂。

    网络监控同样重要。主动监测未经授权的云使用，识别突变的网络流量模式，观察可疑网络活动穿过入侵检测/预防系统，或者发现数据存储需求的异常变化，这些都可能会识别出潜在的流氓云活动。用户与IT授权的提供商创建未经授权实例，提供商可能会发现使用异常（如那些服务水平之外的协议参数），也可能是流氓活动。

    管理流氓云部署

    假设你识别出了流氓云活动，能够抵制住诱惑，立即关闭。如果不能的话，那么确定流氓云活动对IT操作产生什么影响，具体地说，看它是否能在某种程度上协调组织能力、保护敏感数据以及保留重要的IT资产安全。一些未经授权的云实例是没有危害的，只是需要文档。一旦发现流氓云活动，并且做了详细调查，很明显存在一些需考虑的安全风险，那么必须通知高级管理层，并且要么中止流氓云安装、妥善保护，要么将流氓云合并到现有的IT操作中。

    另外，高层管理人员同意制定云服务使用的政策，包括解决非IT和其他未经授权部署问题，解释为什么对公司不利，并详述未能遵守政策的惩罚等的条款。这些将有助于减少未来特设云使用的可能性。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。