Avaliando o custo de um ataque DDoS
Apoio Azure para infraestrutura como serviço (IaaS) traz consigo a capacidade de mover máquinas virtuais entre o seu próprio data center ea nuvem pública Azure. A capacidade de mover cargas de trabalho - sejam eles devidamente codificados aplicativos em nuvem ou máquinas virtuais persistentes tradicionais - é um dos aspectos centrais de Cloud OS da Microsoft.
Hoje podemos mover máquinas virtuais de nosso centro de dados local para um provedor de serviços para Azure e vice-versa, mas isso tem implicações de segurança do mundo real que devem ser considerados.
Movendo-se as máquinas virtuais de A para B é extremamente simples. Para adicionar insulto à injúria, há uma abundância de grandes orientações polvilhado sobre a internet que descreve como fazer upload de discos rígidos virtuais para Azure , do Windows, usar o PowerShell para fazer uma máquina virtual replicação para fins de recuperação de desastres, gerenciar máquinas virtuais Azure a partir de dentro do Visual Studio , e até mesmo migrar máquinas virtuais VMware em Azure.
Serviços de terceiros têm naturalmente começaram a surgir para tornar o processo mais fácil e mais orientada para as necessidades do negócio. Para contribuir com algo útil para o "como fazer" discussão exigiria a nerding muito duro sobre um cenário específico ou a criação de um pequeno ebook cobrindo as muitas maneiras disponíveis para obter uma máquina virtual fora de sua rede e em Azure.
É um pouco mais difícil de encontrar discussões sobre as implicações de ofertas IaaS do Azure de segurança.
As paredes têm ouvidos
Ela costumava ser que o único computador que você poderia confiar era um que não estava conectado a uma rede. Depois veio o malware distribuído por sneakernet, Van Eck phreaking (clique aqui para um PDF do seu artigo 1985, a "radiação eletromagnética a partir de Unidades de exibição de vídeo: um risco Espionagem") e algo chamado criptoanálise acústica que envolve microfones e estou certo de encontra o legal definição de bruxaria.
Hoje, tudo é on-line o tempo todo e é nosso trabalho para lidar com a situação.
Segurança na nuvem deve ser equilibrado com o custo. Além disso, a nuvem híbrida - a ponte de sua rede corporativa e seus fora do estabelecimento comercial nuvem ativos - traz as suas próprias considerações.
Nós gostamos de movê-lo, movê-lo
Microsoft oferece um par de maneiras que você pode fazer isso para obter dados de A para B, e é um bom ponto de partida.
Você pode configurar uma VPN site-to-site, coloque um controlador de domínio do Active Directory no Azure, e tratar a coisa toda como se fosse simplesmente um outro site. Este é o método mais fácil, conceitualmente, uma vez que não difere muito dos modelos de rede tradicionais.
Ao fazer isso, você está replicando "computação em casca de ovo" em um ambiente de nuvem: você se levantar um monte de máquinas virtuais, isolado da internet por quantidades cada vez maiores de infra-estrutura estática.
Essa infra-estrutura estática - seja um controlador de domínio, um servidor VPN, um firewall ou um IDS - tem de existir enquanto ainda uma das suas máquinas virtuais Azure IaaS está ativo.
Essa é uma pequena dor de cabeça quando você tem que comprar um novo widget a cada cinco anos e colocá-lo na borda de seu centro de dados, mas na nuvem você paga pelo que disposição, não o que você usa. Você paga por cada hora que cada uma dessas máquinas virtuais de infra-estrutura estática está ativo no Azure, mesmo os VPNs são preços por conexão horas - apenas alguns tostões curtas de preço por hora.
O outro método de tornar os dados certeza pode fluir entre suas máquinas virtuais nublados e sua infra-estrutura local está recebendo suas máquinas virtuais para chamar de lar à sua rede corporativa, conforme necessário.
Isso pode ser algo tão simples como um cenário em que cada máquina virtual que gira abre sua própria conexão VPN de volta à sua rede corporativa, ou algo mais complexo, como a comunicação RESTful programática. Trata-se de muito mais esforço, talvez, mas é, em última análise muito mais flexível.
Mais ao ponto, a configuração de cada máquina virtual para chamar de lar ajuda a criar uma ruptura com o modelo de casca de ovo de um perímetro dura e um interior macio vulnerável.
Não importa quão cuidadosamente você configurá-lo, alguém com muito tempo em suas mãos e alguns muitos bots AWS acabará por tropeçar em algo em sua máquina virtual que solicitará uma senha
Cada host em um ambiente de nuvem precisa ser defendida de forma independente. Ele precisa de sua própria infra-estrutura de segurança e seu próprio acompanhamento, e tudo isso precisa ser automatizado.
Não faz sentido financeiro para redesenhar suas cargas de trabalho para ser o mais dinâmico possível, girando-se instâncias de máquinas virtuais somente quando necessário e girando-as ou diminuindo-os sempre que possível. Essa é a flexibilidade da nuvem.
Isto tem implicações de segurança, bem como: a carga de trabalho persistente é um alvo persistente. Uma carga de trabalho dinâmico é um pedaço de um monte mais difícil de bater, a segurança dinâmica e reactiva ainda mais.
A paranóia é o nome do jogo. Não importa quão cuidadosamente você configurá-lo, alguém com muito tempo em suas mãos e alguns muitos bots AWS acabará por tropeçar em algo em sua máquina virtual que solicitará uma senha.
Este poderia ser um serviço que você está deliberadamente expor para o mundo exterior, ou poderia ser um serviço como o RDP que você preferiria ser acessível apenas por você.
Nenhum comentário:
Postar um comentário