誰能确保存儲在雲中敏感數據的(de)真正安全?
發布時(shí)間:2020-06-07 10:57:55浏覽次數:
随著(zhe)雲計算(suàn)大(dà)潮越來(lái)越熱(rè),思科發布了(le)一份針對(duì)IT高(gāo)層管理(lǐ)人(rén)員(yuán)的(de)調查 報告,52%的(de)受訪者表示已經在使用(yòng)或計劃使用(yòng)雲計算(suàn),遺憾的(de)是,他(tā)們在将數據轉移到雲端時(shí)面臨的(de)最大(dà)障礙是安全,盡管對(duì)不安全因素的(de)擔心在迅速擴散,但使用(yòng)雲的(de)用(yòng)戶仍然在增長(cháng),因爲雲有很多(duō)極具吸引力的(de)優點,如節省成本,協作,效率和(hé)移動性。
企業應該仔細研究IT環境的(de)優勢和(hé)風險,建立充分(fēn)的(de)數據保護策略,而不是毫無準備地跳入雲中。
将業務轉移到雲端會引入許多(duō)不安全因素,所有一切必須遵循一個(gè)安全原則,才能确保存儲在雲中敏感數據的(de)真正安全,這(zhè)個(gè)原則就是:數據本身必須得(de)到有效的(de)保護。
在雲端存儲數據的(de)不安全因素主要有:
共享的(de)技術問題:
IaaS提供商的(de)基礎設施是自己建立的(de),因此具有良好的(de)擴展能力,但這(zhè)種架構解決方案的(de)挑戰是底層組件通(tōng)常沒有爲多(duō)租戶架構提供強大(dà)的(de)隔離措施。
解決這(zhè)個(gè)缺陷的(de)快(kuài)速方法是,使用(yòng)虛拟化(huà)Hypervisor在客戶機操作系統和(hé)物(wù)理(lǐ)計算(suàn)資源之間起到隔離作用(yòng),但如果Hypervisor本身也(yě)有缺陷,可(kě)能會給上層的(de)客戶機操作系統或底層平台帶入隐患。
總之,客戶不應該有權訪問其它客戶的(de)數據,但遺憾的(de)是,雲一樣不能保證這(zhè)一點。
濫用(yòng)和(hé)惡意使用(yòng)雲計算(suàn):
基礎設施即服務(IaaS)提供商往往會聲稱可(kě)以爲客戶提供無限制的(de)計算(suàn)、網絡和(hé)存儲容量,但這(zhè)些都是幻覺,是浮雲。
如果提供商提供免費的(de)有限的(de)試用(yòng)期,大(dà)門也(yě)将會向垃圾郵件發送者,惡意軟件作者和(hé)網絡犯罪人(rén)員(yuán)敞開,他(tā)們可(kě)以在雲中匿名操作,以逃避懲罰。
過去,隻有平台即服務(PaaS)提供商是攻擊者的(de)目标,但世界在變化(huà),現在IaaS提供商也(yě)不再安全了(le),企業和(hé)個(gè)人(rén)需要擔心諸如密鑰破解,分(fēn)布式拒絕服務攻擊(DDoS),托管惡意數據和(hé)彩虹表等因素。
不安全的(de)接口和(hé)API:
對(duì)大(dà)多(duō)數企業而言,轉移到雲是不可(kě)避免的(de),遺憾的(de)是,服務提供商隻是熱(rè)心于叫你遷移到雲,而不思考他(tā)們API和(hé)接口中的(de)不安全因素。
通(tōng)常情況下(xià),管理(lǐ)、業務流程、配置和(hé)監控都是通(tōng)過這(zhè)些接口執行的(de),安全和(hé)可(kě)用(yòng)性完全依賴于每個(gè)基礎API内置的(de)安全性。
從身份認證到訪問控制,再到加密和(hé)監控都在在這(zhè)些API中體現出來(lái),但現在它們通(tōng)常沒有這(zhè)樣設計,這(zhè)意味著(zhe)不但可(kě)能發生無辜的(de)事故,惡意活動的(de)成功幾率也(yě)會越來(lái)越高(gāo)。
通(tōng)常,組織和(hé)第三方都會使用(yòng)這(zhè)些現成的(de)API走捷徑,要實現對(duì)數據的(de)保護,你需要脫去這(zhè)些API的(de)外衣,重新封裝一層安全保護層。
不懷好意的(de)内部人(rén)員(yuán):
這(zhè)些人(rén)永遠(yuǎn)不會消失,大(dà)多(duō)數企業已經意識到不懷好意的(de)雇員(yuán)可(kě)能會破壞數據,遺憾的(de)是,在雲端一樣不能幸免,事實上,轉移到雲中後,内部人(rén)員(yuán)破壞數據的(de)可(kě)能性還(hái)越來(lái)越大(dà)。
由于客戶隻有一個(gè)管理(lǐ)域,加上提供商缺乏透明(míng)度,導緻缺陷被放大(dà)。
例如,雲提供商可(kě)能不會透露它是如何授權雇員(yuán)訪問物(wù)理(lǐ)或虛拟數據,如何監控這(zhè)些雇員(yuán)的(de)操作行爲,或如何分(fēn)析操作報告的(de),他(tā)們僅僅爲你提供了(le)一個(gè)快(kuài)速,劃算(suàn)的(de)業務增長(cháng)方法,但不會提供任何有關雇員(yuán)在雲中如何工作的(de)可(kě)視化(huà)報告。
這(zhè)使得(de)黑(hēi)客、商業間諜、犯罪集團、甚至國家贊助的(de)入侵者對(duì)雲中的(de)數據更感興趣。
未知的(de)風險預測:
雲計算(suàn)的(de)一個(gè)信條是減少硬件和(hé)軟件所有權和(hé)維護權,釋放最終用(yòng)戶的(de)壓力,讓他(tā)們專注于核心業務的(de)強項。
但财務和(hé)運營方面的(de)好處需要結合所有安全擔心進行權衡,毫無疑問,雲會讓你的(de)生活更加簡單,但它也(yě)可(kě)能讓你死于安樂(yuè)。
你在調查雲提供商時(shí),諸如軟件代碼更新,安全補丁,缺陷預測,入侵嘗試和(hé)安全設計等都應該被涉及。
數據本身需要得(de)到保護才能确保它在雲中的(de)安全,不能隻依靠雲提供商,他(tā)們頂多(duō)能保證環境100%的(de)安全,你自己必須确保對(duì)數據采取了(le)切實有效的(de)保護措施,那麽什(shén)麽措施才是切實有效的(de)呢(ne)?
我認爲保護雲中的(de)數據最核心的(de)需求是數據加密,數據加密是使用(yòng)專業軟件對(duì)相關數據進行自動加密和(hé)各種應用(yòng)權限設置,就算(suàn)被盜也(yě)打不開,以此達到保護敏感數據。
企業應該仔細研究IT環境的(de)優勢和(hé)風險,建立充分(fēn)的(de)數據保護策略,而不是毫無準備地跳入雲中。
将業務轉移到雲端會引入許多(duō)不安全因素,所有一切必須遵循一個(gè)安全原則,才能确保存儲在雲中敏感數據的(de)真正安全,這(zhè)個(gè)原則就是:數據本身必須得(de)到有效的(de)保護。
在雲端存儲數據的(de)不安全因素主要有:
共享的(de)技術問題:
IaaS提供商的(de)基礎設施是自己建立的(de),因此具有良好的(de)擴展能力,但這(zhè)種架構解決方案的(de)挑戰是底層組件通(tōng)常沒有爲多(duō)租戶架構提供強大(dà)的(de)隔離措施。
解決這(zhè)個(gè)缺陷的(de)快(kuài)速方法是,使用(yòng)虛拟化(huà)Hypervisor在客戶機操作系統和(hé)物(wù)理(lǐ)計算(suàn)資源之間起到隔離作用(yòng),但如果Hypervisor本身也(yě)有缺陷,可(kě)能會給上層的(de)客戶機操作系統或底層平台帶入隐患。
總之,客戶不應該有權訪問其它客戶的(de)數據,但遺憾的(de)是,雲一樣不能保證這(zhè)一點。
濫用(yòng)和(hé)惡意使用(yòng)雲計算(suàn):
基礎設施即服務(IaaS)提供商往往會聲稱可(kě)以爲客戶提供無限制的(de)計算(suàn)、網絡和(hé)存儲容量,但這(zhè)些都是幻覺,是浮雲。
如果提供商提供免費的(de)有限的(de)試用(yòng)期,大(dà)門也(yě)将會向垃圾郵件發送者,惡意軟件作者和(hé)網絡犯罪人(rén)員(yuán)敞開,他(tā)們可(kě)以在雲中匿名操作,以逃避懲罰。
過去,隻有平台即服務(PaaS)提供商是攻擊者的(de)目标,但世界在變化(huà),現在IaaS提供商也(yě)不再安全了(le),企業和(hé)個(gè)人(rén)需要擔心諸如密鑰破解,分(fēn)布式拒絕服務攻擊(DDoS),托管惡意數據和(hé)彩虹表等因素。
不安全的(de)接口和(hé)API:
對(duì)大(dà)多(duō)數企業而言,轉移到雲是不可(kě)避免的(de),遺憾的(de)是,服務提供商隻是熱(rè)心于叫你遷移到雲,而不思考他(tā)們API和(hé)接口中的(de)不安全因素。
通(tōng)常情況下(xià),管理(lǐ)、業務流程、配置和(hé)監控都是通(tōng)過這(zhè)些接口執行的(de),安全和(hé)可(kě)用(yòng)性完全依賴于每個(gè)基礎API内置的(de)安全性。
從身份認證到訪問控制,再到加密和(hé)監控都在在這(zhè)些API中體現出來(lái),但現在它們通(tōng)常沒有這(zhè)樣設計,這(zhè)意味著(zhe)不但可(kě)能發生無辜的(de)事故,惡意活動的(de)成功幾率也(yě)會越來(lái)越高(gāo)。
通(tōng)常,組織和(hé)第三方都會使用(yòng)這(zhè)些現成的(de)API走捷徑,要實現對(duì)數據的(de)保護,你需要脫去這(zhè)些API的(de)外衣,重新封裝一層安全保護層。
不懷好意的(de)内部人(rén)員(yuán):
這(zhè)些人(rén)永遠(yuǎn)不會消失,大(dà)多(duō)數企業已經意識到不懷好意的(de)雇員(yuán)可(kě)能會破壞數據,遺憾的(de)是,在雲端一樣不能幸免,事實上,轉移到雲中後,内部人(rén)員(yuán)破壞數據的(de)可(kě)能性還(hái)越來(lái)越大(dà)。
由于客戶隻有一個(gè)管理(lǐ)域,加上提供商缺乏透明(míng)度,導緻缺陷被放大(dà)。
例如,雲提供商可(kě)能不會透露它是如何授權雇員(yuán)訪問物(wù)理(lǐ)或虛拟數據,如何監控這(zhè)些雇員(yuán)的(de)操作行爲,或如何分(fēn)析操作報告的(de),他(tā)們僅僅爲你提供了(le)一個(gè)快(kuài)速,劃算(suàn)的(de)業務增長(cháng)方法,但不會提供任何有關雇員(yuán)在雲中如何工作的(de)可(kě)視化(huà)報告。
這(zhè)使得(de)黑(hēi)客、商業間諜、犯罪集團、甚至國家贊助的(de)入侵者對(duì)雲中的(de)數據更感興趣。
未知的(de)風險預測:
雲計算(suàn)的(de)一個(gè)信條是減少硬件和(hé)軟件所有權和(hé)維護權,釋放最終用(yòng)戶的(de)壓力,讓他(tā)們專注于核心業務的(de)強項。
但财務和(hé)運營方面的(de)好處需要結合所有安全擔心進行權衡,毫無疑問,雲會讓你的(de)生活更加簡單,但它也(yě)可(kě)能讓你死于安樂(yuè)。
你在調查雲提供商時(shí),諸如軟件代碼更新,安全補丁,缺陷預測,入侵嘗試和(hé)安全設計等都應該被涉及。
數據本身需要得(de)到保護才能确保它在雲中的(de)安全,不能隻依靠雲提供商,他(tā)們頂多(duō)能保證環境100%的(de)安全,你自己必須确保對(duì)數據采取了(le)切實有效的(de)保護措施,那麽什(shén)麽措施才是切實有效的(de)呢(ne)?
我認爲保護雲中的(de)數據最核心的(de)需求是數據加密,數據加密是使用(yòng)專業軟件對(duì)相關數據進行自動加密和(hé)各種應用(yòng)權限設置,就算(suàn)被盜也(yě)打不開,以此達到保護敏感數據。
上一篇:沒有了(le)
下(xià)一篇:企業在信息化(huà)安全建設中的(de)三大(dà)誤區(qū)
