Azure安全了,企业管理员就可以安心了吗?

日期: 2015-10-15 作者:Kevin Beaver翻译:杨旭 来源:TechTarget中国 英文

当系统管理员面对微软Azure的安全性时,他们最常拿出的解决方案有加密、监控/记录、访问控制以及威胁管理等。不错,这些领域是云安全的盾牌。撇开系统设计和安全管理最佳实践,保持一个弹性的Azure环境远不仅仅是这些核心概念。经常被忽视的一件事就是通过漏洞扫描和渗透测试进行适当的安全审查。

如果没有这些实践,也就没有办法知道Azure环境是否能够承受攻击。 在很多情况下,那些对企业信息安全负责的员工对此相关问题很是放心,因为这是“微软的云”啊。大家普遍认为,微软好大家就好。但是假想一下,微软在对自己的Azure做渗透测试时发现了问题但是不通知我们呢?来看看微软在Azure网站上的声明: “……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

当系统管理员面对微软Azure的安全性时,他们最常拿出的解决方案有加密、监控/记录、访问控制以及威胁管理等。不错,这些领域是云安全的盾牌。撇开系统设计和安全管理最佳实践,保持一个弹性的Azure环境远不仅仅是这些核心概念。经常被忽视的一件事就是通过漏洞扫描和渗透测试进行适当的安全审查。如果没有这些实践,也就没有办法知道Azure环境是否能够承受攻击。

在很多情况下,那些对企业信息安全负责的员工对此相关问题很是放心,因为这是“微软的云”啊。大家普遍认为,微软好大家就好。但是假想一下,微软在对自己的Azure做渗透测试时发现了问题但是不通知我们呢?来看看微软在Azure网站上的声明:

"微软通过执行常规的渗透测试来改善Azure安全控制和流程。我们明白,安全评估对于我们客户的应用程序开发和部署也是非常重要的一部分。"

也就是说,微软留给最终用户去确保自己的系统是否满足自己的安全需求。从微软那一样令人印象深刻的已证实的行业标准列表非常符合全球标准的情况来看,检查系统和应用程序就是你自己的工作了。数据中心安全标志是一回事,但服务器和应用程序的缺陷是另一回事。如果回顾那些已经被发现的漏洞,你会发现这些漏洞的发生几乎与组织是否有某个基本安全策略或行业标准没有关系。相反,要么是因为他们的安全政策或标准并未在实际场景中执行,要么是不为人知的技术漏洞成了漏网之鱼。

不难看到,与Azure云环境(或亚马逊等等)的高度兼容充斥着技术安全漏洞,其中大部分将影响所有其他高级数据中心和操作安全控制。在这些预设有弹性的云环境中,我见过的漏洞以下:

  • 由于缺乏应用程序输入验证引发SQL注入攻击
  • 脆弱的web应用程序密码  
  • 缺失以及容易被利用的Web服务器补丁
  • 缺乏监控、报警和对攻击的实时阻止

如果这些Azure环境是安全的,因为它们的“兼容”,那么谁来留心真正造成问题的缺陷呢?答案往往是没有人。影子IT除外,许多大企业能够掌控安全测试,但是中型和小型组织通常达不到这个程度。

你不会知道那些你不知道的事情。必须对云环境实施合理的安全审查,这是不可推卸的责任。不仅仅要许愿表达、立下承诺和书写文书,而是要让周而复始的云安全计划获得微软许可,然后测试缺陷。现在就动手吧,几个月后再做一次,然后就这样定期和持续向前发展,在黑客犯罪之前找到漏洞。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

相关推荐

  • Azure进阶教程

    微软从未放松其云战略脚步,作为其云计算平台,Azure今年已增加了众多更新,受人瞩目。本期技术手册将深入介绍Azure更多相关知识,涉及Azure新功能、Azure监控与管理,以及Azure的安全措施等等。