机房360首页
当前位置:首页 » 云计算资讯 » 为什么巨头需要认真对待安全问题

为什么巨头需要认真对待安全问题

来源:机房360 作者: 更新时间:2022/1/6 9:32:52

摘要:IT越多,colo提供商的风险就越大随着安全问题越来越成为各种形式和规模的组织所关注的问题,colo提供商所处的不利地位是不仅需要管理数据中心产品组合的物理安全,还需要管理其自身组织的核心IT,而且还可以确保向客户提供越来越多的软件和服务。

  传统的托管提供商精通物理安全。建造弹性建筑和限制进入建筑和个人客户笼子的规范已经确立。

  但随着设施变得更加智能,运营商逐渐成为混合云或私有云提供商,安全形势也发生了变化。

  随着这些网络安全风险的变化,运营商和客户之间围绕安全的关系和责任也需要改变。

  IT越多,colo提供商的风险就越大随着安全问题越来越成为各种形式和规模的组织所关注的问题,colo提供商所处的不利地位是不仅需要管理数据中心产品组合的物理安全,还需要管理其自身组织的核心IT,而且还可以确保向客户提供越来越多的软件和服务。

  许多公司可能在需要保护的方面有很大的权限,但很少有CISO和安全领导人会像colo CISO那样在正常运行时间要求和SLA方面与尽可能多的客户打交道。

  2020年9月,Equinix遭受勒索软件攻击,但并未影响客户。但近年来,其他colo和主机提供商并没有这么幸运。2019年对CyrusOne的勒索软件攻击导致许多客户受到影响,这些客户大多由该公司的纽约数据中心提供服务。

  同年7月,QuickBooks云托管公司iNSYNQ也遭到MegaCortex勒索软件攻击。该公司表示,这是对其一个主要数据中心的“精心策划的勒索软件攻击”,影响了50%以上的客户群。该恶意软件通过网络钓鱼电子邮件进入其网络,并通过其网络(包括一些备份)迅速传播。

  2019年,在勒索软件攻击对其部分Windows主机服务器和虚拟专用服务器进行加密后,主机公司A2主机公司倒闭两周多。受损的RDP连接感染了A2在新加坡的数据中心,然后传播到其美国设施以及

  一些客户备份。一个多月没有恢复全面服务。

  2019年是主机提供商遭受勒索软件攻击的糟糕一年,ASP。NET主机提供商SmarterASP。NET以及云主机提供商数据解析。净命中率。在2020年年底,中国成功实现了这一目标。com遭受了一次攻击,导致客户网站离线购买。

  蒙特利尔基于服务提供商的网络托管加拿大在2021年8月遭受了漫长的停电,原因是未经披露的第三方服务提供商未经授权的活动。

  Equinix CSO的Michael Montoya解释说:“从CSO的角度来看,没有任何组织能够消除所有风险。”。“但我们的职责是帮助平衡公司的风险;了解我们的风险并尽可能降低风险。”

  “从数据中心的角度和产品的角度来看,我们在保护HVAC、PDU、UPS设备、所有配电、IBX设施的访问控制等物理元素的过程中提高了安全性,”他补充道。

  “然后,我们必须保护运行我们的金融系统和核心业务基础架构的核心关键IT资产,我们必须确定我们的关键供应商,并确保我们的数据在这些供应商中得到保护。”

  物联网和OT:越来越一体化,越来越有针对性

  工业控制系统的广泛集合——通常被称为操作技术(OT)——操作相对简单,但却是确保HVACs等系统正常运行的关键。不过,它们的简单性往往是攻击者的优势。

  OT通常与传统IT系统分开看待,这意味着尽管它位于同一网络上,但它可能缺乏与更标准的硬件和应用程序相同的控制、维护和安全性。这意味着,如果连接到Internet,它们可能是容易受到攻击的目标,如果连接到受攻击的IT网络,则容易受到攻击。

  Netrality数据中心技术副总裁威廉·舒尔茨(William Schultz)表示:“黑客攻击后台系统(如楼宇自动化和楼宇管理系统)是很常见的。”。“黑客将利用监控系统作为后门访问更广泛的网络,以规避前端层安全。这些后台系统通常没有得到很好的保护。”

  近年来,基于OT的大规模攻击不断增加。Fortinet在2020年对OT高管进行的一项调查发现,只有8%的受访者在过去12个月内未发现任何入侵事件,而65%的受访者曾见过三次或三次以上的事件。霍尼韦尔的另一项调查指出,四分之三的设施经理担心OT系统的安全性,改善安全状况是未来12-18个月的优先事项。

  蒙托亚指出,大约有13个威胁行为人团体正在积极构建工具和技术,以应对OT相关的攻击。他说:“不幸的是,在工业界,OT环境中存在这样一种看法,即它是空气间隙。”。“在我看来,这是一种非常错误的安全感,使OT环境落后于IT安全多年。

  “但是,如果你看看最近发生在美国殖民地管道、大型肉类供应商GBS或佛罗里达供水系统的最新泄漏事件,许多组织最终会意识到一些更明显的泄漏正在发生。

  “多年来,这一直是我们关注的焦点;我们已经花费了巨大的努力在物理方面进行正确的细分,并控制对这些系统和设施的访问,然后确保这些系统和设施与我们的数据湖紧密相连,因此,如果我们确实看到一些异常情况,我们可以根据我们的一些IT资产对其进行三角划分他们可能会接触到,如果我们的设施空间内发生了威胁环境,我们如何理解更多。”

  与此同时,随着越来越多的物联网(IoT)设备进入数据中心,一个新的平台为潜在的攻击者打开了。新的传感器可能使数据中心

  在监控操作时更为智能,但它会增加复杂性和潜在漏洞,因为每个设备都可能成为新的故障点或攻击者的路由。

  Flexential的网络安全副总裁威尔·巴斯(Will Bass)指出:“当涉及到这些物联网类型的东西时,你希望尽可能地尝试和隔离这些东西。”。“例如,您不希望这些设备与客户数据流量位于同一网络上。”

  管理这些工业物联网(IioT)系统开始变得越来越像管理传统IT堆栈,需要持续的安全监控、定期的补丁周期、受限的访问控制以及快速响应任何异常活动的能力。

  “物联网设备,如闭路电视摄像机和暖通空调系统,由于部署的系统中存在脆弱的安全性,通常是目标切入点,”英国IT公司Six Degrees战略开发负责人迈克尔·卡尔(Michael Carr)解释道。“这通常会导致进入公司网络环境。”

  将物联网和建筑系统与核心IT和客户环境分离——无论运营商可能提供何种服务——是关键,稳健的监控和访问管理也是关键。还应采用定期渗透测试和补丁管理流程。

  “在我们的数据中心,所有支持基础设施在物理和逻辑上都与客户环境分离,”卡尔说。“物理安全控制——包括门禁、CCTV和HVAC系统——在设施内的独立网络和所有分段控制网络上运行

  通过将事件收集到由我们的SOC设施全天候分析的SIEM平台,对系统进行监控。”

  新服务意味着COO提供商面临新的安全挑战

  Colo公司越来越多地提供软件和服务解决方案,模糊了传统托管和云之间的界限。

  “你仍然有客户进来,只是想购买数据中心空间,”巴斯说。“但我们也有越来越多的客户进来,他们想要一些colo空间,一些私有云,一些灾难恢复方面的帮助。

  “你肯定会看到数据中心公司的合并和变化,”Bass继续说。“保护HVAC肯定与使用包含客户数据的VMware堆栈大不相同,我们必须有正确的流程、警报和监控。”

  随着巨像产品的发展,网络安全的重点也必须改变。软件开发需要不断考虑安全性,但当开发的应用程序和服务被外部使用时,更需要考虑安全性。

  Colo提供商需要确保他们在安全开发应用程序方面采用最新的建议和方法,如OWASP top ten或NIST的安全软件开发框架,以确保他们提供弹性产品。

  蒙托亚说:“随着我们更多地转向软件元素,我们已经将大量精力放在确保我们的软件结构或金属服务具有正确的安全控制上,首先是我们如何整体开发我们的结构解决方案。”。

  “我们正在运行一个非常严格的自动化CI/CD管道;我们与我们的产品组织密切合作,以控制该仪器,并确保我们在整个管道中具有可见性,以便在它进入生产之前,我们能够签署并确保所有正确的安全门都已设置。

  “从威胁建模开始,一直到构建,到代码的实际扫描,以及我们需要在其进入生产设施后管理的生产中的任何内容。”

  巨头成为云意味着新的安全责任

  IaaS提供商云堆栈中的主要漏洞很少,而由于配置错误而意外暴露的公司几乎每天都会发生。

  暴露的AWS S3存储桶泄漏信息多年来一直是常见的配置失误,但AWS将始终重申其平台是安全的。这种云妥协通常源于人为错误;云提供商通常会提供服务来帮助解决这些问题,但绝不会为此承担责任。

  云提供商花了数年时间向客户告知云安全共享责任模型以及他们将保护硬件和底层软件的概念,但与数据和应用程序的配置、访问和监控有关的一切仍牢牢掌握在客户手中。

  长期以来,人们对colo运营商和客户的传统角色和责任有了很好的理解,但随着越来越多的colo提供商提供云服务,这些旧的界限变得模糊。到目前为止,对于新成立的colo公司来说,还没有一个同等的分担责任模式,即谁承担什么样的风险。

  技术咨询公司SenecaGlobal的高级副总裁迈克·奥马利(Mike O'Malley)表示:“随着企业寻求利用托管服务,我们发现并不总是清楚地界定哪个实体负责网络安全。”。“公司经常错误地认为托管提供商正在处理网络安全的所有方面,保护他们的服务器、应用程序和服务电子保险库中的数字资产。

  “托管提供商能够清楚地与客户沟通他们如何保护物理托管场所和网络基础设施,以及客户需要处理哪些应用程序和数据安全保护,从而更好地保护整个生态系统。”

  Equinix的Montoya承认,在云和基于服务的托管的新世界中,不存在这样的共享责任模式,整个行业可能必须更好地教育客户和运营商谁承担哪些风险。

  他说:“作为COO提供者,我们需要做很多工作,以真正帮助人们了解这些界限在哪里,以及我们如何在整体共享遗传风险模型中发挥作用。”。“我认为,作为一个社区,需要进行更多的对话和协作,以考虑整体的遗传风险和共享安全性。

  “这对于我们社区来说是一个创造更多标准化的绝佳机会,因此我们都在说同一种语言,我们都能够围绕一种非常常见的方法建立支持,以处理共享安全。”

  在未来的混合动力世界中,colo和客户之间的共同责任模式会是什么样子,这一点仍有待讨论,但目前,客户的责任仍然很大程度上在于完成他们的家庭作业。

  Flexential的Bass补充道:“责任方面肯定不同于我们科罗拉多州的某个人,也不同于我们私有云中的某个人,但它要弄清楚这些责任在哪里停止(这很困难);每个公司都需要进行风险评估。”

  不断变化的客户、不断变化的风险正如COO提供商需要确保攻击者不会使用受损的公司IT或构建系统来攻击客户,同时他们必须警惕其客户不会对公司或其其他客户构成潜在风险。

  “我们的客户是一种风险吗?当然,”蒙托亚承认,“我们必须了解我们的客户群,才能了解他们可能给我们带来的风险。”

  蒙托亚指出,有许多威胁行为体有意利用科洛公司实施他所谓的上游攻击——也称为跳岛攻击或供应链攻击——在这种攻击中,供应商受到威胁,以扰乱或转向客户。

  “他们不一定对我们感兴趣,但也许他们只是想扰乱我们的客户,”他说。“我们关心的是他们如何利用我们的设施或服务来干扰我们客户的服务。

  “你想想近年来发生的一些大型系统集成商和电信违规事件;与其说是针对这些公司,不如说是针对他们的客户。”

  因此,蒙托亚说,Equinix对谁会对其客户感兴趣进行了大量分析,无论是通过破坏设施还是破坏网络,并试图进入客户的环境(他毫不奇怪地说这将“难以置信地难以做到”)。

  然而,他确实注意到,在Equinix基础设施上托管有问题内容的公司在该风险登记册上的风险高于从笼子跳进互联环境的参与者。

  “我们对客户的担忧越来越少,他们能否转向我们的一项物理服务,可能更多地关注谁是我们的客户,他们是否给我们带来了其他担忧,如美国1月份的事件。”

  Bass同意,客户可以从不受欢迎的目光中吸引更多的兴趣,他说,Flexential有许多客户,但为了避免成为资深演员的潜在目标,它不会谈论这些客户。

  然而,就目前而言,巨像保护建筑、让客户的硬件保持完好的行业标准仍然存在,这使得运营商不得不保持警惕,但不要插手。

  蒙托亚说:“在某些情况下,我们确实看到了一些活动,因为顾客的环境卫生状况可能很差。”。

  “我们将提醒他们并帮助他们了解其环境中的潜在风险。但我们无法控制我们的客户如何进行自身卫生。”

  Flexential提供事件响应服务,但只能在客户要求时提供帮助。和其他科罗拉多州的公司一样,它需要确保客户事件不会有流血的危险,而剩下的大部分都是不插手的。他指出,往往是较小的“夫妻”企业最终面临安全挑战。

  “我们希望确保准确了解所有客户环境的边缘发生了什么,以便我们能够看到他们是否发生了某种安全事件或问题。我们希望确保不会发生这种情况,不会泄露给任何其他人。”

  “但另一方面,这是他们的环境。如果没有他们,我们不会去改变它,也不会在这些问题上与他们合作。”

  供应链安全受到新的关注DCD采访的多家公司指出,最近的SolarWinds漏洞——攻击者破坏了该公司的Orion IT监控和管理软件,以获得对其客户网络的高度特权访问——引起了人们对供应链安全的日益关注。

  企业客户现在希望确保他们自己的供应链的供应链是安全的。来自这些客户的关于控制、合规性和安全性的审计在数量和细节上都在不断增加,导致他们的供应商向COO供应商提出同样的要求。

  “我们的客户正在确保他们是安全的,以便他们能够向客户证明他们是安全的;客户数据在他们的环境中是安全的,这也可能是我们环境的一部分,”Bass说。

  因此,仅仅遵守任何给定的合规性要求或标准——无论是NIST、ISO、Cyber Essentials、SOC、HIPAA、PCI还是其他任何标准——已经不够好了。

  蒙托亚指出,不仅审计请求的数量显著增加,而且这些审计的强度也有所增加。在过去几年中,如果客户希望获得所需的合规性证书副本,他们将变得更加了解情况,并使用定制的控制创建自己的审计。

  “许多客户现在喜欢创建自己的控件视图,并增加对控件的检查,”他说。“在他们之前可能有20个额外的控制措施的地方,突然我们看到在一些审计中,他们正在进行100个额外的定制控制措施以供审查。”

  与此同时,colo供应商必须更仔细地审视自己的供应链。雇佣的每个供应商——无论是帮助公司运营自己的业务还是为客户提供服务——都会给COO及其客户带来潜在风险。

  目标公司2014年通过一家受损的暖通空调供应商进行的数据泄露仍然是供应链泄露的最臭名昭著的例子之一,对于依赖空调的数据中心行业来说,这一点非常重要。但风险几乎可以来自任何供应商。

  蒙托亚解释说:“您确实必须了解交付服务所依赖的供应链,无论这些服务是保护您的核心数据、保护您的核心业务或产品,还是保护您的客户。”。

  “我们实施了第三方审计流程以及我们称之为持续保证的流程,这有助于我们对关键供应商进行评估,并以更实时的方式评估他们的网络风险。”

  科洛的未来现实是,科洛的景观正在迅速变化,但仍然保持不变;一些公司总是想要一些标准的托管服务,而提供商仍然需要保护他们的核心IT和他们的建筑,这就增加了多云的复杂性。

  巴斯说:“我认为传统的colo将永远存在。”。“即使不是小公司来向您购买colo,数据也必须存在于某个地方,所有这些SaaS应用程序都必须存在于某个地方。

  Bass总结道:“客户情况可能会发生变化,我当然认为我们将看到一种更混合的方法。”。

  一些客户永远只希望你成为他们笼子的主人,而另一些客户则想要更多。由colo提供商随时准备提供客户所需,但要安全地提供。

  责任编辑:张华

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/202216/n3119142765.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片