云平臺(tái)無處不在，并且應(yīng)用越來越廣泛。

隨著谷歌公司開始與微軟和亞馬遜展開競(jìng)爭(zhēng)，公共云領(lǐng)域的競(jìng)爭(zhēng)目前尤其激烈。

數(shù)字化轉(zhuǎn)型是這場(chǎng)爆炸式增長(zhǎng)的主要催化劑。

通常，當(dāng)一些工作負(fù)載轉(zhuǎn)移到公共提供者(通常是不太重要的開發(fā)和測(cè)試環(huán)境)時(shí)，云采用就開始了。

過了一段時(shí)間，非關(guān)鍵應(yīng)用程序可能會(huì)遷移，然后是存儲(chǔ)(文件和數(shù)據(jù)庫(kù))，然后是更大的部署。

公共云之所以具有吸引力，是因?yàn)槌休d應(yīng)用程序組件的基礎(chǔ)設(shè)施和協(xié)調(diào)過程的基礎(chǔ)部分是完全管理的，而且大部分是隱藏的，例如網(wǎng)絡(luò)功能、互聯(lián)網(wǎng)訪問、安全、存儲(chǔ)、服務(wù)器和計(jì)算虛擬化。

一切都可以通過簡(jiǎn)單的用戶界面或API輕松配置。

安全是通過使用與國(guó)際互聯(lián)網(wǎng)隔離的專用網(wǎng)絡(luò)來實(shí)施的。

有關(guān)在公共云中托管的專用網(wǎng)絡(luò)的信息并不安全。

這是因?yàn)榧词箾]有訪問互聯(lián)網(wǎng)，私有網(wǎng)絡(luò)仍然可以通過DNS與之通信。

大多數(shù)情況下，無需特定配置即可從推送到公共云基礎(chǔ)設(shè)施的工作負(fù)載獲得完整的DNS訪問權(quán)限。

因此，默認(rèn)情況下，大多數(shù)公共云提供商都可以使用DNS隧道、DNS文件系統(tǒng)和數(shù)據(jù)泄露。

這不是一個(gè)安全缺陷，而是一個(gè)專門內(nèi)置的功能，主要用于幫助需要訪問云計(jì)算服務(wù)器無需服務(wù)的工作負(fù)載，以簡(jiǎn)化數(shù)字化轉(zhuǎn)型。

這這將使任何業(yè)務(wù)都能夠應(yīng)對(duì)各種可能的數(shù)據(jù)泄漏。

最可能出現(xiàn)的四種情況如下：1.將惡意代碼插入后端以執(zhí)行DNS解析以提取數(shù)據(jù)。

通常，通過組織外部的標(biāo)準(zhǔn)方法(如SQL注入、堆溢出、已知漏洞和不安全的API)獲取訪問權(quán)限。

2.惡意代碼被插入到一個(gè)廣泛使用的庫(kù)中，因此它會(huì)影響所有用戶(例如供應(yīng)鏈攻擊)，而不考慮其是什么語(yǔ)言(例如Java、Python和Node.js)。

3.企業(yè)內(nèi)有權(quán)訪問主機(jī)的人員可以修改/安裝/開發(fā)使用DNS執(zhí)行惡意操作的應(yīng)用程序(聯(lián)系命令和控制、推送數(shù)據(jù)或獲取惡意軟件內(nèi)容)。

4.開發(fā)人員插入特定代碼，該代碼不需要更改基礎(chǔ)設(shè)施，并使用DNS提取生產(chǎn)數(shù)據(jù)、事件或帳戶信息。

代碼將通過持續(xù)集成和測(cè)試部分的質(zhì)量門，并自動(dòng)部署到生產(chǎn)中。

那么，組織可以做些什么——特別是當(dāng)它在多個(gè)云服務(wù)上部署多層次應(yīng)用程序時(shí)?首先，應(yīng)該為存儲(chǔ)在公共云托管的私有網(wǎng)絡(luò)上的任何業(yè)務(wù)信息部署專用DNS服務(wù)，即使它是臨時(shí)的。

專用DNS服務(wù)將允許組織篩選可訪問的內(nèi)容和不應(yīng)訪問的內(nèi)容。

它還允許組織定期審計(jì)云架構(gòu)，這在任何公共云環(huán)境中都是都是必需的。

這需要特定的識(shí)別云模式，這對(duì)大多數(shù)系統(tǒng)和網(wǎng)絡(luò)架構(gòu)師來說都是新的。

大多數(shù)工作負(fù)載不需要完全訪問全球互聯(lián)網(wǎng)。

但有時(shí)它是必要的——例如，當(dāng)企業(yè)的DevOps團(tuán)隊(duì)需要更新基礎(chǔ)設(shè)施、安裝包或依賴項(xiàng)時(shí)，因?yàn)樗?jiǎn)化了部署階段。

企業(yè)可以通過設(shè)計(jì)一個(gè)“不可變的基礎(chǔ)設(shè)施”來實(shí)現(xiàn)這一點(diǎn)，該基礎(chǔ)設(shè)施具有預(yù)構(gòu)建的圖像、專用網(wǎng)絡(luò)和受控的入站和出站通信。

他們還應(yīng)該執(zhí)行測(cè)試階段，特別是因?yàn)樵朴?jì)算提供商的選項(xiàng)可能會(huì)在不集成的情況下發(fā)生變化。

其次，云計(jì)算提供商提出了部署內(nèi)部資源和后端服務(wù)(如數(shù)據(jù)庫(kù)、文件存儲(chǔ)、特定計(jì)算、后臺(tái)管理)的專用網(wǎng)絡(luò)解決方案。

這解決了數(shù)據(jù)保護(hù)(例如，GDPR法規(guī))、數(shù)據(jù)加密或只是為了阻止應(yīng)用程序的某些部分直接暴露于互聯(lián)網(wǎng)等安全和監(jiān)管問題。

然而，更好的做法是在未連接到全球互聯(lián)網(wǎng)的子網(wǎng)或網(wǎng)絡(luò)上部署計(jì)算后端資源，而這只能由已知的資源實(shí)現(xiàn)。

然后，可以強(qiáng)制執(zhí)行篩選規(guī)則以限制訪問并遵守安全策略。

最后，確保在云計(jì)算編排器中集成靈活的DDI(DNS-DHCP-IPAM)解決方案，以簡(jiǎn)化配置。

啟用該服務(wù)后，DDI將自動(dòng)在配置中推送適當(dāng)?shù)挠涗洝?/p>

這不僅可以為組織節(jié)省大量時(shí)間，還可以實(shí)施有助于保護(hù)公共云部署的策略。