失控：反思企业云安全控制

随着与员工在不同的网络和云之间移动，其访问范围显然会发生变化。企业的控制范围也发生了变化，意味着企业必须调整安全控制，从而能够处理这些不同的控制范围。

比如，基于用户的角色访问具体的数据类型可能在其通过外部网络时受到限制。IT人员通常可以24/7/365访问企业放了，然而临时员工相比之下则只有在授权的情况下才可以访问企业服务。

风险偏向也可能会影响访问层级，比如员工需要服从某种具体的法律法规内容。一些企业决定最好是为访问HIPAA保护的信息提供沙盒虚拟桌面。在这样的领域典型的配置包括消除用户行政权，利用预定义的应用，并严格通过企业的防火墙和内容保护技术访问互联网。

尽管一旦用户转移到不可信网络上，最终企业在可信网络上的有效控制不再适用。比如，如果企业的防火墙不能管理这个连接，很可能反病毒服务器升级定义文件也不可访问，就需要技术进行修补。

云安全控制

新的云安全控制的开发需要一种系统的方法。控制设计的简单方法就是远近效应。基本上，安全控制在用户在可信网络上时需要远离，而在其处于不可信网络上时要紧贴用户。因此，当用户在非可信云环境中操作时，企业应该考虑大量的近距离安全控制，以便阻止恶意攻击，包括全磁盘加密、健壮密码强制执行、本地反病毒以及本地防火墙。

企业进行云安全控制需要落实到位，并非一直如此直接，然而由于控制范围发生改变，企业必须为类似的转移做准备。控制在企业云上减少威胁的最好例子就是内容过滤技术，本质上限制了用户可能访问的网站类型，因此减少了受Web服务器牵连的客户端攻击的数量。然而，如果用户转到非可信云中，比如酒店或者甚至是家庭网络，他们可能在上网时有一个更好的自由度，绕过企业在云端设立的内容过滤技术，增加了客户端攻击的风险。

不受重视的用例就是一个值得信任的客户，如果这个客户连接到企业云上，会对以前的可信环境带入一种完全不同的威胁因素。没有合适的远离控制，企业可能无法检测到可信客户充满恶意的行为，潜在地导致问题，减少客户的信心。

每一种场景都需要控制

不管企业是否提供云服务或者从云提供商处购买服务，需要理解端到端的云安全控制，这种控制要求减少各种可能的威胁。安全团队必须意识到云安全控制必须在用户的访问范围发生改变时做出改变。这也意味着技术必须在可信和非可信云之间合适的位置设置规则，方便通过不同的设备和网络访问。没有这样的控制，复杂且专业的攻击者不可避免地会找到攻击企业云基础架构的方法。