确保适当的访问控制

　　由于资源的一部分（也可能是资源的全部）现在暴露在互联网上，公共云使用机构的数据将面临日益增长的风险。对云计算提供商的网络运行进行审计（更不用说基于自身网络进行实时监控）基本上是不太可能的，哪怕是事后审计也很困难。能够获取的网络层面的日志和数据不多，而且全面进行调查并收集取证数据的能力也是相当有限的。

　　与第二个风险因素相关的例子是IP地址再使用（再分配）的问题。一般来说，当用户不再需要已分配的IP地址时，云计算提供商不再保留用户的IP地址。当地址变为可用后，地址通常再分配给其他用户使用。从云计算提供商的角度看，这么做是有道理的。IP地址数量有限，同时也是用于收费的资产。然而从用户安全的角度出发，IP地址再分配使用可能会带来问题。用户无法确信他们对资源的网络访问能随着IP地址的释放一并终止，从DNS中的IP地址改变到DNS缓存清理，这之间显然存在一段时间延迟。从ARP表中改变物理地址到将ARP地址从缓存中清除也会有一定的滞后时间，因此在老的地址被清除之前，还是会一直存在于ARP缓存中。这意味着即使地址可能已经变化，原先的地址在缓存中依旧有效，因此用户还是可以访问到那些理应不存在的资源。近期，最大的云计算提供商之一接到了许多与未失效IP地址相关的问题报告。这极有可能是2008年3月亚马逊网络极力宣扬其弹性IP地址能力的一个推动因素。

　　现有负载均衡系统中所存在一个问题导致任何超过231字节内容的TCP/IP连接都会终止。这就意味着超过2GB的目标内容必须在亚马逊简单存储服务中分几次执行，每次执行都对应着相同目标内容的不同字节区域。

　　然而，未失效IP地址以及对资源的未授权网络访问等问题并不仅仅出现在可路由的IP地址上。这个问题也存在于提供商为用户提供的内部网络以及非可路由IP地址的分配上.虽然资源可能无法通过互联网直接获得，但出于管理的目的，这些资源必须可通过专用地址在提供商网络上进行访问。云计算提供商的其他用户有可能从内部通过云计算提供商的网络获得你的资源，虽然他们未必会故意这么做。

　　市面上的一些产品可以帮助减轻IP地址再使用的问题，但除非云计算提供商把这些产品作为服务提供给用户，否则用户将不得不寻求第三方的产品并支付费用，以解决由云计算提供商所带来的问题。

　　确保面向互联网资源的可用性

　　越来越多的数据以及越来越多的机构人员都依赖外部托管以确保云计算提供的资源的可用性，人们对网络安全的依赖程度在逐渐上升。因此你的机构一定可以接受我们在之前部分列举的三个风险因素。

　　BGP前缀劫持为第三个风险因素提供了很好的示例。前缀劫持包括在未经他人允许的情况下通报属于他人的自治系统地址空间。这样的通报常常是由于配置错误而产生的，但这些错误的配置可能仍然影响你的基于云计算的资源的可用性。根据在2006年2月提交给北美网络运营商集团的一份研究显示，这种配置错误每个月会发生数百次。这种错误配置最出名的实例是在2008年2月发生的。当时巴基斯坦电信公司由于操作失误，把YouTube假路由通报给其位于中国香港的PCCW电信合作伙伴。由于网站上有据称亵渎的视频，YouTube在巴基斯坦是被封锁的。这次事件的直接结果是YouTube在全球范围内无法使用长达两个小时。

　　除了配置错误，还有其他的蓄意攻击。虽然出于蓄意攻击的前缀劫持情况远少于配置错误，但这种问题还是会产生，并阻碍对数据的访问。根据提交给NANGO的同份研究报告显示，这种前缀劫持攻击每月出现的次数在100次以内。虽然这种攻击并不新颖，但无疑会随着云计算的广泛使用而增多，也有可能变得十分普遍。随着云计算使用的增长，基于云计算的资源可用性对用户的价值也在逐渐增长。这种对用户不断增长的价值也导致了不断增长的恶意行为风险，给这些资源的可用性带来了巨大的威胁。

　　DNS攻击也是与第三个风险因素相关的例子。事实上，与云计算相关的DNS攻击有若干种形式。虽然DNS攻击并不新颖也不直接与云计算相关，但是由于不断增加的外部DNS查询以及越来越多的机构人员愈加依赖网络安全以确保其使用的基于云计算的资源的可用性，导致在网络层面上DNS和云计算的问题对于机构的风险也在逐步上升。

　　虽然在2008年绝大多数网络安全的关注集中在“Kaminsky Bug”上，但其他的DNS问题也同样影响了云计算。DNS协议和DNS的实施过程中存在着漏洞，DNS缓存中毒攻击也十分普遍，这种攻击欺骗DNS服务器接受错误的信息。虽然很多人认为DNS缓存中毒攻击在几年前就已经平息，但事实并非如此，这些攻击如今仍然是个大问题，尤其是在云计算领域内。基本的缓存中毒攻击的变体包括重定向目标域名服务器，将域名服务器记录重定向到其他的目标域，并在真正的域名服务器之前进行响应。

　　与第三个风险因素相关的最后一个例子是拒绝服务攻击和分布式拒绝服务攻击。同样地，虽然DoS/DDoS攻击并不新颖并且与云计算没有直接的联系，但由于机构网络外部资源使用的增加，在网络层面上这些攻击和云计算的问题对机构的风险也在逐步上升。

　　然而，当使用基础设施即服务时，DDoS攻击的风险就不仅仅存在于外部了。通过IaaS提供商的网络供用户使用的部分中也存在着内部DDoS攻击。内部网络是分享的资源，用户可以借此访问其非公众事务，并通过提供商对其网络和资源进行管理。如果我是个不守规矩的用户，没有任何机制可以阻止我通过访问这个内部网络来查找或者攻击其他用户，抑或攻击IaaS提供商的基础设施，而且供应商也很可能没有部署任何侦查控制手段，更不用说针对此类攻击向用户预警了。其他用户唯一能做的预防措施只有加固他们的事务，并使用提供商的防火墙功能增强业务的安全性。

　　用域替换已建立的网络区域及层面模型

　　在基础设施即服务和平台即服务中，已有的网络区域及层面不再存在。这些年来，网络安全往往依赖于域进行构建，例如内联网与外联网，开发与生产，为了改善安全隔离网络流量等。这种模式是基于排他性的，只有具有特定角色的个人和系统才可以访问特定的区域。类似地，特定层面内的系统往往只可以访问特定层面。例如，表示层的系统不允许直接与数据库层的系统进行通信，而只能与在应用域内授权的系统进行通信。建立在公共IaaS和PaaS上的软件即服务云计算也有类似的特征。然而，在私有IaaS上建立的公共SaaS可按照传统的隔离模式，但通常不与用户分享拓扑信息。

　　典型的网络区域及层面模式在公共云计算中被“安全组”、“安全域”或者“虚拟数据中心”所取代，新的模式在层与层之间有逻辑隔离，但在精确性以及提供的保护方面不如早先的模式。

　　在网络区域及层面的已有模式中，不仅仅开发系统逻辑上与生产系统在网络层面上相隔离，这两个系统在主机层面上也是物理隔离的。然而在云计算中，这种隔离不复存在。在基于域分割的云计算模型中，只为寻址提供了逻辑隔离。由于测试域和生产域很可能刚好在同一个物理服务器上，于是不再有任何物理隔离的需要，此外，早先的逻辑网络隔离也不复存在；现在的测试域和生产域在主机层面上同时运行在相同的物理服务器，只靠VM监控(管理程序)实现逻辑隔离。

　　网络层减灾

　　基于前面部分对风险因素的讨论，我们可以做些什么以降低这些不断增长的风险因素呢?首先要注意到，网络层面风险的存在与使用哪方面的云计算服务是无关的。因此风险等级的确定并不取决于使用哪种服务，而是取决于你的机构是否打算或者正在使用公共云、私有云还是混合云。虽然有IaaS云计算提供虚拟的网络域，这还是无法与内部私有云计算环境相比的，后者可以执行全面的状态监视以及其他网络安全监测。

　　如果你的机构足够大以至于可以承担私有云计算所需的资源开销，就可以在网络内部使用真正的私有云，那么所面临的风险会大大降低。在某些情况下，位于云计算提供商处的私有云可以帮助你满足安全需求，但这也取决于提供商的能力和成熟度。

　　你可以通过加密降低安全方面的风险，尤其对传输中的数据进行有效的加密。安全数字水印可以大大增加他人篡改数据的难度，这样就保证了数据的完整性。

　　云计算在网络层的可用性风险是很难降低的，除非机构在网络拓扑内部使用私有云。即使私有云是在云计算提供商设施内的私有外部网络，在网络层面上也会面临不断增加的风险，公共云则会面临更大的风险。我们在这里先保留些观点。

　　即使是有丰富资源的大企业在网络层面的基础设施安全上也面临着相当大的挑战。云计算相关风险实际上是不是比当前企业面临的风险要大呢？当在这方面进行比较时，需要考虑现存的私有和公共的外联网，同时也需要把合作伙伴的关系考虑进来。对那些没有丰富资源的大企业，或者是中小企业，使用公共云的风险是否真的高于这些企业目前基础设施中所存在的风险呢?在很多情况下，答案也许是否定的，云计算其实并不会带来更高的风险。

　　内网安全中有一项非常重要，但是也存在着一定争议的工作，那就是--行为审计。行为审计可以发现不少内网安全的“内鬼”，但“行为审计是否侵犯个人隐私”一直存在争论，如何用好审计功能也是企业和厂商都极为关注的一个课题。

　　审计，信息安全的晴雨表

　　把握住行为信息收集的度，控制好审计的范围和权限，便可以很大程度的避免一些审计带来的风险。审计只是一个工具，IT管理部门应该明确，审计的目的是为了安全，它让企业得以对内部的操作可视化，这样企业可以随时发现新的安全威胁、防护漏洞，不断调整防护策略，以应对不断涌现的技术所带来的威胁，实现最大限度的安全。三一重工股份有限公司研究总院信息化经理谭俊峰十分重视管理，这与三一重工研究院是三一内部核心数据部门有关。从企业审计系统的原则出发，制定了“把握全局、拿捏有度、主次分明、责任到位、统筹兼顾”的原则，并且在建立人力资源管理的制度时，就从宣贯公司的某些政策或制度出发，让员工知道信息保密性的要求，并且他们会经常对企业员工进行信息安全意识的培训。

　　总体来看，只要制定好规章制度，并将内网审计的概念灌输到企业的员工中，企业完全可以利用内网安全系统进行管理，这将对企业内网安全水平的提升起到极大的作用。青岛中集冷藏箱制造有限公司信息主任耿峰认为，没有行为审计的内网安全系统是不完善，行为审计可以有效的检测到威胁内网安全的因素，网络管理员可以通过该系统清除威胁，确保网络安全合规。谭俊峰也认为很多产品在企业部署完备后能发挥一定的作用，但是怎么发挥长期的作用是每个企业必须思考的问题，企业运用好审计系统需要把握全局、拿捏有度、主次分明、责任到位、统筹兼顾。

　　“隐私”无绝对

　　行为审计，是否会侵犯员工的隐私?这个问题曾经是业界讨论的热点。随着国人对“隐私”概念理解的逐步深入，这个问题已经明朗化。隐私的基本含义是：不愿告人或不愿公开的个人的私事。企业的内网是为了企业经营发展的需要而组建的，在企业内网上所作的行为属于单位事务，郑州三全食品股份有限公司CIO周清湘认为：从这个意义上说，员工没有“隐私”可言，而所谓“隐私”就是利用企业资源干自己的事。

　　虽然“隐私”的定义很明确，但是“行为审计”在实际操作中却仍然不断的引发争论。因为人毕竟不是机器，不可能在工作场所、工作时间内百分之百的不处理个人事务。因此，员工在内网中的行为总会含有涉及隐私的内容。武汉凡谷电子技术股份有限公司信息部经理朱烔哲就认为，“行为审计”的第一步就是行为收集，除非只将高危险行为识别出来并保留，否则必侵犯隐私。如果企业不顾实际情况，列出长长的违规操作人员清单，会弄得人人自危，员工阳奉阴违，反而得不偿失了。

　　实施审计需张弛有度

　　审计，涉及隐私，有法律风险；不审计，失去监管，有安全风险。这对矛盾该如何解决，怎样才能用好审计，让行为审计发挥出应有的作用呢？杭州汽轮机股份有限公司所长黄梁认为行为审计是安全方面必不可少的一项内容。不过进行审计的人员要有公司的正式授权，而且必须对其的职责要进行清晰的界定，还要有一定的行为规范来进行限制。信息安全专家李洋博士也认为：部署行为监控和行为审计类产品是企业合规的一个重要步骤，但行为审计并不一定要侵犯个人隐私，或者说不完全要侵犯个人隐私。只要严格限制审计者对原始数据的接触，就能比较好地做到尊重个人隐私。游侠安全网站长张百川则指出，关于审计与隐私的问题，在国际上也有争论。很多企业部署审计监控产品的时候，无论是主机审计监控还是网络审计监控，并没有和员工说明，这非常不合理；多数企业又控制不好审计员权限，审计员往往可以看全网人的隐私，这其实对企业存在很大的法律风险。

　　做好审计要从几方面考虑，一是要明确审计的范围，从安全角度来说是越全越好，但从合理性角度来说，不该审计的，就不应该去碰；二是对审计人员的权限有所限制。谁有审计权限，什么情况下审计，需要什么流程，都要有成文的规定，并且有必要对其审计行为进行再审计；三是要合理利用审计的来的信息，善于将得到的信息根据自己的需要做成高度可视化的报表，反映出关键的问题，为决策提供指导。

　　如此看来，审计与隐私之间并非不可调和，只要以恰当的“审计行为”来进行“行为审计”，是可以达到既保障信息安全又避免法律风险的目的的。

　　除了恰当的审计行为之外，企业履行告知义务也是非常重要的。黄凯认为，从实施的角度来说，最好做到告知义务，同时形成制度性。管理者也应该明确IT资产的公有属性，即组织为员工提供的IT设备，理论上只是为了员工能够完成其工作所必需的生产资料，因此在其计算机上所存储和使用的任何数据，都应该属于组织公有，把类似的条款写入制度，在员工入职时进行签署和培训，都有助于一旦法律纠纷发生时提供参考。张百川也认为，产品部署前，应当发布相关公告进行解释说明。

　　综上所述，部署行为管理和行为审计类产品是合法的，也是必须的。通过行为审计，可以发现员工的异常行为、潜在的危险行为，起到防患于未然的效果。而且当泄密行为发生之后，审计系统也可以帮助企业快速查找到泄密者，及时挽回损失。但是，审计、行为监控系统必须慎用，这些系统权限很高，而且对于员工的感情和工作积极性存在影响，如果滥用可能引发严重后果。企业必须要严格控制监控的权限，对管理员的职责有清晰的界定，确保系统不被滥用。

　　白名单可以显著提升防火墙管理员的工作量，因为每个新的链接都需要另外的防火墙规则——这种规则需要被计划，认证，部署和批准。随着下一代防火墙的出现，黑名单与白名单的争议也值得被大家重新审视，但是大多数有关此话题的争议都是在技术层面提出。那么其管理方面的挑战又是什么呢？

　　过去几年是防火墙技术几十年发展史里边变化最大的一段时间。自上世纪90年代Check Point引入静态检测后，防火墙管理员和信息安全官员一直都在对基于某链接的源IP地址，目标IP地址和服务的安全策略进行定义。

　　现在有了Palo Alto Networks和Check Point R75倡导的所谓下一代防火墙，策略也可以在应用基础上进行定义。

　　通过一些令人印象深刻的技术改进，这些设备可以对共享端口的不同应用进行区别对待。下一代防火墙可以实施精细化粒度策略，如“阻止文件交换型应用”或是“允许Facebook但阻止其游戏应用”抑或是“阻止Skype应用”——同时允许有益的HTTP数据流通过防火墙。其销售噱头确实很吸引有着安全忧患的组织，而且很多组织都开始接受这一新技术。

　　构建一个更好的防火墙

　　不过一旦过了这阵新鲜劲儿，就必须意识到下一代防火墙其实是需要严加管理的。这意味着要合理规划，特别是要对“黑名单”和“白名单”加以斟酌。

　　十五年前，防火墙管理员之间曾就如何为防火墙策略进行结构优化发生过激烈争论。黑名单的支持者建议“除了阻止那些不想要的数据流外，对一切数据流放行。”而白名单的支持者则认为“除了需要的数据外，阻止一切数据。”这场争议以大多数人赞成更为安全的白名单方法而告终：现在，特别是每个防火墙策略都有一个“Default Drop”规则以及大量“允许”的规则。而且，大多数规则都需要配备这样的结构。

　　尽管如此，这种更为安全的方法需要付出一定代价：白名单给防火墙管理员带来了很多工作量。因为每个新的连接都需要新的防火墙规则——这种规则应该被计划，认证，部署以及验证。有些组织每周要处理几百个类似的规则变更请求，结果，他们要花上几周的时间变更请求与部署。

　　许多企业防火墙策略已经膨胀成包含数千条规则的大怪物。

　　重新审视

　　这么庞大的策略很难保障其安全性——而且其中还包含着大量错误。事实上，已经有研究指出策略这种策略中的策略复杂性与大量错误存在着相关性;就防火墙策略而言，小才会精。现在，想象一下如果替换一个允许HTTP的单独规则，会发生什么呢?该策略将包含一万条新规则，每个应用一条?如果不仔细设计，新策略的安全性可能更低。

　　随着下一代防火墙的出现，黑名单和白名单的争议值得大家重新审视，然后做出明智的选择。考虑一下：如果你打算在应用层级使用白名单，每周将要处理多少变更需求呢?现有团队可以在不增加时间的前提下处理额外的工作量嘛?这对你的风险姿态有何影响呢?

　　况且，CISO或许会发现通过黑名单定义策略会更容易，比如“阻止社交网络，文件共享和视频流，以及允许其他Web流量。”

　　对Web代理过滤以及Web应用防火墙的配置方式进行对比后发现，黑名单通常用于Web代理，当然也有一些组织使用白名单。下一代防火墙应该延续Web代理使用黑名单的惯例吗？还是应该延续传统的防火墙白名单设置方法？

　　大多数有关下一代防火墙的文章都是基于技术层面。但是这个问题在管理层面存在什么挑战呢？我们应该对此认证讨论。PCI-DSS，NERC和CIST对此的态度是什么？内部审查准则是什么？而安全托管服务商们的态度又是如何呢？