云平臺(tái)無(wú)處不在，并且應(yīng)用越來(lái)越廣泛。事實(shí)上，調(diào)研機(jī)構(gòu)IDG公司2018年的云計(jì)算研究表明，73%的企業(yè)已將至少多個(gè)應(yīng)用程序或部分基礎(chǔ)設(shè)施置于云中。隨著谷歌公司開(kāi)始與微軟和亞馬遜展開(kāi)競(jìng)爭(zhēng)，公共云領(lǐng)域的競(jìng)爭(zhēng)目前尤其激烈。

[[263330]]

數(shù)字化轉(zhuǎn)型是這場(chǎng)爆炸式增長(zhǎng)的主要催化劑。通常，當(dāng)一些工作負(fù)載轉(zhuǎn)移到公共提供者(通常是不太重要的開(kāi)發(fā)和測(cè)試環(huán)境)時(shí)，云采用就開(kāi)始了。過(guò)了一段時(shí)間，非關(guān)鍵應(yīng)用程序可能會(huì)遷移，然后是存儲(chǔ)(文件和數(shù)據(jù)庫(kù))，然后是更大的部署。

公共云之所以具有吸引力，是因?yàn)槌休d應(yīng)用程序組件的基礎(chǔ)設(shè)施和協(xié)調(diào)過(guò)程的基礎(chǔ)部分是完全管理的，而且大部分是隱藏的，例如網(wǎng)絡(luò)功能、互聯(lián)網(wǎng)訪問(wèn)、安全、存儲(chǔ)、服務(wù)器和計(jì)算虛擬化。一切都可以通過(guò)簡(jiǎn)單的用戶界面或API輕松配置。安全是通過(guò)使用與國(guó)際互聯(lián)網(wǎng)隔離的專用網(wǎng)絡(luò)來(lái)實(shí)施的。

有關(guān)在公共云中托管的專用網(wǎng)絡(luò)的信息并不安全。這是因?yàn)榧词箾](méi)有訪問(wèn)互聯(lián)網(wǎng)，私有網(wǎng)絡(luò)仍然可以通過(guò)DNS與之通信。大多數(shù)情況下，無(wú)需特定配置即可從推送到公共云基礎(chǔ)設(shè)施的工作負(fù)載獲得完整的DNS訪問(wèn)權(quán)限。因此，默認(rèn)情況下，大多數(shù)公共云提供商都可以使用DNS隧道、DNS文件系統(tǒng)和數(shù)據(jù)泄露。這不是一個(gè)安全缺陷，而是一個(gè)專門內(nèi)置的功能，主要用于幫助需要訪問(wèn)云計(jì)算服務(wù)器無(wú)需服務(wù)的工作負(fù)載，以簡(jiǎn)化數(shù)字化轉(zhuǎn)型。這這將使任何業(yè)務(wù)都能夠應(yīng)對(duì)各種可能的數(shù)據(jù)泄漏。

最可能出現(xiàn)的四種情況如下：

1. 將惡意代碼插入后端以執(zhí)行DNS解析以提取數(shù)據(jù)。通常，通過(guò)組織外部的標(biāo)準(zhǔn)方法(如SQL注入、堆溢出、已知漏洞和不安全的API)獲取訪問(wèn)權(quán)限。
2. 惡意代碼被插入到一個(gè)廣泛使用的庫(kù)中，因此它會(huì)影響所有用戶(例如供應(yīng)鏈攻擊)，而不考慮其是什么語(yǔ)言(例如Java、Python和Node.js)。
3. 企業(yè)內(nèi)有權(quán)訪問(wèn)主機(jī)的人員可以修改/安裝/開(kāi)發(fā)使用DNS執(zhí)行惡意操作的應(yīng)用程序(聯(lián)系命令和控制、推送數(shù)據(jù)或獲取惡意軟件內(nèi)容)。
4. 開(kāi)發(fā)人員插入特定代碼，該代碼不需要更改基礎(chǔ)設(shè)施，并使用DNS提取生產(chǎn)數(shù)據(jù)、事件或帳戶信息。代碼將通過(guò)持續(xù)集成和測(cè)試部分的質(zhì)量門，并自動(dòng)部署到生產(chǎn)中。

那么，組織可以做些什么——特別是當(dāng)它在多個(gè)云服務(wù)上部署多層次應(yīng)用程序時(shí)?

首先，應(yīng)該為存儲(chǔ)在公共云托管的私有網(wǎng)絡(luò)上的任何業(yè)務(wù)信息部署專用DNS服務(wù)，即使它是臨時(shí)的。專用DNS服務(wù)將允許組織篩選可訪問(wèn)的內(nèi)容和不應(yīng)訪問(wèn)的內(nèi)容。它還允許組織定期審計(jì)云架構(gòu)，這在任何公共云環(huán)境中都是都是必需的。這需要特定的識(shí)別云模式，這對(duì)大多數(shù)系統(tǒng)和網(wǎng)絡(luò)架構(gòu)師來(lái)說(shuō)都是新的。大多數(shù)工作負(fù)載不需要完全訪問(wèn)全球互聯(lián)網(wǎng)。但有時(shí)它是必要的——例如，當(dāng)企業(yè)的DevOps團(tuán)隊(duì)需要更新基礎(chǔ)設(shè)施、安裝包或依賴項(xiàng)時(shí)，因?yàn)樗?jiǎn)化了部署階段。企業(yè)可以通過(guò)設(shè)計(jì)一個(gè)“不可變的基礎(chǔ)設(shè)施”來(lái)實(shí)現(xiàn)這一點(diǎn)，該基礎(chǔ)設(shè)施具有預(yù)構(gòu)建的圖像、專用網(wǎng)絡(luò)和受控的入站和出站通信。他們還應(yīng)該執(zhí)行測(cè)試階段，特別是因?yàn)樵朴?jì)算提供商的選項(xiàng)可能會(huì)在不集成的情況下發(fā)生變化。

其次，云計(jì)算提供商提出了部署內(nèi)部資源和后端服務(wù)(如數(shù)據(jù)庫(kù)、文件存儲(chǔ)、特定計(jì)算、后臺(tái)管理)的專用網(wǎng)絡(luò)解決方案。這解決了數(shù)據(jù)保護(hù)(例如，GDPR法規(guī))、數(shù)據(jù)加密或只是為了阻止應(yīng)用程序的某些部分直接暴露于互聯(lián)網(wǎng)等安全和監(jiān)管問(wèn)題。然而，更好的做法是在未連接到全球互聯(lián)網(wǎng)的子網(wǎng)或網(wǎng)絡(luò)上部署計(jì)算后端資源，而這只能由已知的資源實(shí)現(xiàn)。然后，可以強(qiáng)制執(zhí)行篩選規(guī)則以限制訪問(wèn)并遵守安全策略。

第三，確保在云計(jì)算編排器中集成靈活的DDI(DNS-DHCP-IPAM)解決方案，以簡(jiǎn)化配置。啟用該服務(wù)后，DDI將自動(dòng)在配置中推送適當(dāng)?shù)挠涗?。這不僅可以為組織節(jié)省大量時(shí)間，還可以實(shí)施有助于保護(hù)公共云部署的策略。

將應(yīng)用程序移動(dòng)到公共云或私有云是不可避免的。隨著企業(yè)不斷自我轉(zhuǎn)型，云計(jì)算的使用也將隨之而來(lái)。但是，企業(yè)需要意識(shí)到，公共云在安全性方面并非一無(wú)是處，并且不能假定涵蓋了所有角度。否則，云計(jì)算的便利性會(huì)給企業(yè)的數(shù)據(jù)帶來(lái)不便。