誰能(néng)确保存儲在雲中敏感數(sh'Ωù)據的(de)真正安全?
發布時(shí)間(jiān):2020-06-07 10:↔π•57:55浏覽次數(shù):
随著(zhe)雲計(jì)算(suàn)大✘>(dà)潮越來(lái)越熱(rè),思科(kē★§↕♠)發布了(le)一(yī)份針對(duì)IT高(gāo)層管理(lǐ)人(rén)員(yuá¥←£n)的(de)調查 報(bào)告,52%的(de)受訪者表示已經在使用(yòng)或計"®(jì)劃使用(yòng)雲計(jì)算(suàn),遺憾的(de)是(shì),他(tā)們在将≥ 數(shù)據轉移到(dào)雲端時(shí)面臨的(de)最大ββφ↑(dà)障礙是(shì)安全,盡管對(duì)不(bù)安全因素的(d♣¥♣e)擔心在迅速擴散,但(dàn)使用(yòng)雲σφ的(de)用(yòng)戶仍然在增長(chánᮣ§g),因為(wèi)雲有(yǒu)很(hěn)多(duō)極具吸引力的"©(de)優點,如(rú)節省成本,協作(zuò),效率和(hé)移動性。
企業(yè)應該仔細研究IT環境的(de)>λγ↕優勢和(hé)風(fēng)險,建立充分(fēn)的(de)數(shù)據保>•護策略,而不(bù)是(shì)毫無準備地(dì)跳(ti₽ ào)入雲中。
将業(yè)務轉移到(dào)雲端會(huì)引入許多(duō)不(bùβ♦)安全因素,所有(yǒu)一(yī)切必須遵♦&循一(yī)個(gè)安全原則,才能(néng)确保存儲在雲中敏感數(sφ×hù)據的(de)真正安全,這(zhè)個(gè)原則就(jiù)是(shì)δε":數(shù)據本身(shēn)必須得(de)到(dào)有(yǒu)效的(de)保護。
在雲端存儲數(shù)據的(de)不(bù)安全因♣•"素主要(yào)有(yǒu):
共享的(de)技(jì)術(shù)問(wèn)題:
IaaS提供商的(de)基礎設施是(shì)自(zì)己建立的(de),因此具®¶≤×有(yǒu)良好(hǎo)的(de)擴展能(néng)力,但(dàn)這(zhè)種架構解決方案✔₽✘的(de)挑戰是(shì)底層組件(jiàn)通(tōng)常沒有(yǒu)為(wèi)多(du $ō)租戶架構提供強大(dà)的(de)隔離(lí)措施。
解決這(zhè)個(gè)缺陷的(de)快(kuài)速方法是(shì),使用(≤∞yòng)虛拟化(huà)Hypervisor在客戶機(jī♦α×↑)操作(zuò)系統和(hé)物(wù)理(lǐ)計(jì)算(suàn)資源之間(j&±'$iān)起到(dào)隔離(lí)作(zuò)用(yòng),但(dàn)如(rú)果Hypeβ®♠ rvisor本身(shēn)也(yě)有(yǒu)缺陷,可(kě)能(néng)會✘↑↔(huì)給上(shàng)層的(de)客♣™戶機(jī)操作(zuò)系統或底層平台帶入隐$₩₽™患。
總之,客戶不(bù)應該有(yǒu)權訪問(wèn)其它客戶σ♦的(de)數(shù)據,但(dàn)遺憾的(de)是(s"₩×hì),雲一(yī)樣不(bù)能(néng)保證這(zhè)一(yī)點。
濫用(yòng)和(hé)惡意使用(yòng)雲計(jì)™ σ算(suàn):
基礎設施即服務(IaaS)提供商往往會(huì)聲稱可(kě)以為(wèi)客戶提供無限₹β制(zhì)的(de)計(jì)算(suà×≈≤↔n)、網絡和(hé)存儲容量,但(dàn)這(zhè)些(xiē)都(dōu)是(shì)幻覺,是>↓ ≥(shì)浮雲。
如(rú)果提供商提供免費(fèi)的(de)有(yǒu)限的(de)試用(yòng)期,大 ₹(dà)門(mén)也(yě)将會(huì)向垃圾郵件(jiàn)發送者,惡意軟件(j §≥iàn)作(zuò)者和(hé)網絡犯罪人(rén)員(yuán)敞開(kāi♥∑≠),他(tā)們可(kě)以在雲中匿名操作(zuò)♠&←,以逃避懲罰。
過去(qù),隻有(yǒu)平台即服務(PaaS)提供商是π☆'(shì)攻擊者的(de)目标,但(dàn)世界在變化(huà),現(xiàn) ≥λ在IaaS提供商也(yě)不(bù)再安全了(leα♥±),企業(yè)和(hé)個(gè)人(rén)需要(yào)≠σπ擔心諸如(rú)密鑰破解,分(fēn)布式拒絕服務攻擊(DDoS),托管惡意數(shù)據和(♣↕± hé)彩虹表等因素。
不(bù)安全的(de)接口和(hé)API:
對(duì)大(dà)多(duō)數(shù)企業(yè)而言,轉移到(dào)雲γγγ∑是(shì)不(bù)可(kě)避免的(de),遺憾的(de)是(shì),服務提供商隻是≥π☆♦(shì)熱(rè)心于叫你(nǐ)遷移到(dào)雲,而不(bù)思考他(tā)們API§λ和(hé)接口中的(de)不(bù)安全因素。
通(tōng)常情況下(xià),管理(lǐ)、業(yè)務流程、配™∑₽置和(hé)監控都(dōu)是(shì)通(tōng)過這(zhèΩ ↓)些(xiē)接口執行(xíng)的(de),安全和(hé)可(kě¶ )用(yòng)性完全依賴于每個(gè)基礎API內(nèi)∑♣ ✔置的(de)安全性。
從(cóng)身(shēn)份認證到(dào)訪問(wèn)控制(zhì),再到(dào)加✔☆密和(hé)監控都(dōu)在在這(zh≥¶₽è)些(xiē)API中體(tǐ)現(xiàn)出來(lái),但(dàn)↕'↔£現(xiàn)在它們通(tōng)常沒有(yǒu)這(zh®βè)樣設計(jì),這(zhè)意味著(zhe)不(bù)但(dàn)可(k" ě)能(néng)發生(shēng)無辜的(de)事(shì)故,惡意活動的(de)←♦ α成功幾率也(yě)會(huì)越來(lái)越高(gāo)。
通(tōng)常,組織和(hé)第三方都(dōu)會↓•(huì)使用(yòng)這(zhè)些(xiē)現(xiàn)成的(d≥→e)API走捷徑,要(yào)實現(xiàn)對(duì)數(shù)據的(de"♥ )保護,你(nǐ)需要(yào)脫去(qù)這(zhè)些(xiē)APIα∞的(de)外(wài)衣,重新封裝一(yī)層安全保護§§☆層。
不(bù)懷好(hǎo)意的(de)內(nèi)部人(rén)員(yuán):
這(zhè)些(xiē)人(rén)永遠(yu∏÷ǎn)不(bù)會(huì)消失,大(dà)多(duō)數(shù)企業(↑↕₽yè)已經意識到(dào)不(bù)懷好(hǎo)意的(de)雇員(λδ≠×yuán)可(kě)能(néng)會(huì)破壞數(shù)據,遺憾的(de)是(shì),♦≤在雲端一(yī)樣不(bù)能(néng)幸免,α×事(shì)實上(shàng),轉移到(dào)雲§©♥中後,內(nèi)部人(rén)員(yuán)破壞數(shù)據的(de)可(kě)€ ↔能(néng)性還(hái)越來(lái)越大(dà)。
由于客戶隻有(yǒu)一(yī)個(gè)管理(lǐ)域,加上(←★δshàng)提供商缺乏透明(míng)度,導緻缺陷被÷★↓α放(fàng)大(dà)。
例如(rú),雲提供商可(kě)能(néng)不(bù)會(huì)透露它是(shì)如∏"♥(rú)何授權雇員(yuán)訪問(wèn)物(wù)理(&₽εlǐ)或虛拟數(shù)據,如(rú)何監控這(zhè)些(xiē)× "雇員(yuán)的(de)操作(zuò)行(xíng)為(wèε≤i),或如(rú)何分(fēn)析操作(zuò)報(bào)告的(de),★☆ 他(tā)們僅僅為(wèi)你(nǐ)提供了(le)一(yī)個(gè)快(ku♥♦ài)速,劃算(suàn)的(de)業(yè)務增長(c±'háng)方法,但(dàn)不(bù)會(huì)提供任何有(yǒu)關雇員(yuán)在雲 σ中如(rú)何工(gōng)作(zuò)的(de)可(π<"kě)視(shì)化(huà)報(bào)告。
這(zhè)使得(de)黑(hēi)客、商業(yè)間&↔(jiān)諜、犯罪集團、甚至國(guó)家₩☆≈(jiā)贊助的(de)入侵者對(duì)雲中的(de)數(shù)←↔σ據更感興趣。
未知(zhī)的(de)風(fēng)險預測:
雲計(jì)算(suàn)的(de)一(yī"≤∑)個(gè)信條是(shì)減少(shǎo)硬件(jiàn)和(hé)軟件(jiàn)≥§&₩所有(yǒu)權和(hé)維護權,釋放(fàng)最終用(yòng)戶的(de)壓×€π力,讓他(tā)們專注于核心業(yè)務的(de)強項。
但(dàn)财務和(hé)運營方面的(✘λde)好(hǎo)處需要(yào)結合所有(yǒu)安全擔心進行(xíng)權衡,毫無∑₩"疑問(wèn),雲會(huì)讓你(nǐ)的(de)生(shēng)活更加簡單×♣,但(dàn)它也(yě)可(kě)能(néng♦☆)讓你(nǐ)死于安樂(yuè)。
你(nǐ)在調查雲提供商時(shí),諸如(rú)軟件(jiàn)代碼更新,安全補 Ω∞€丁,缺陷預測,入侵嘗試和(hé)安全設計(jì)等都(dōu)λ♠★應該被涉及。
數(shù)據本身(shēn)需要(yào)得(de)到(dào)保護才能(néng)确保•€™¥它在雲中的(de)安全,不(bù)能(néng)隻依靠雲提供商,他(tā)們頂多(du♠¶γō)能(néng)保證環境100%的(de)安全,α"你(nǐ)自(zì)己必須确保對(duì)數(shù)據采取了(le)≥δ切實有(yǒu)效的(de)保護措施,那(nàσ±€)麽什(shén)麽措施才是(shì)切實有(yǒu)效的(de)♥ε÷呢(ne)?
我認為(wèi)保護雲中的(de)數(shù)據最核>♥φ心的(de)需求是(shì)數(shù)據加密,數(shù)據加密是(shì)使用(yòn ≠Ωg)專業(yè)軟件(jiàn)對(duì)相(xiàng)關數(shù)↕•↑據進行(xíng)自(zì)動加密和(hé)各種應用(yòn£g)權限設置,就(jiù)算(suàn)被盜也(yě)打不(b®ε¥ù)開(kāi),以此達到(dào)保護敏感數(shù)據。
企業(yè)應該仔細研究IT環境的(de)>λγ↕優勢和(hé)風(fēng)險,建立充分(fēn)的(de)數(shù)據保>•護策略,而不(bù)是(shì)毫無準備地(dì)跳(ti₽ ào)入雲中。
将業(yè)務轉移到(dào)雲端會(huì)引入許多(duō)不(bùβ♦)安全因素,所有(yǒu)一(yī)切必須遵♦&循一(yī)個(gè)安全原則,才能(néng)确保存儲在雲中敏感數(sφ×hù)據的(de)真正安全,這(zhè)個(gè)原則就(jiù)是(shì)δε":數(shù)據本身(shēn)必須得(de)到(dào)有(yǒu)效的(de)保護。
在雲端存儲數(shù)據的(de)不(bù)安全因♣•"素主要(yào)有(yǒu):
共享的(de)技(jì)術(shù)問(wèn)題:
IaaS提供商的(de)基礎設施是(shì)自(zì)己建立的(de),因此具®¶≤×有(yǒu)良好(hǎo)的(de)擴展能(néng)力,但(dàn)這(zhè)種架構解決方案✔₽✘的(de)挑戰是(shì)底層組件(jiàn)通(tōng)常沒有(yǒu)為(wèi)多(du $ō)租戶架構提供強大(dà)的(de)隔離(lí)措施。
解決這(zhè)個(gè)缺陷的(de)快(kuài)速方法是(shì),使用(≤∞yòng)虛拟化(huà)Hypervisor在客戶機(jī♦α×↑)操作(zuò)系統和(hé)物(wù)理(lǐ)計(jì)算(suàn)資源之間(j&±'$iān)起到(dào)隔離(lí)作(zuò)用(yòng),但(dàn)如(rú)果Hypeβ®♠ rvisor本身(shēn)也(yě)有(yǒu)缺陷,可(kě)能(néng)會✘↑↔(huì)給上(shàng)層的(de)客♣™戶機(jī)操作(zuò)系統或底層平台帶入隐$₩₽™患。
總之,客戶不(bù)應該有(yǒu)權訪問(wèn)其它客戶σ♦的(de)數(shù)據,但(dàn)遺憾的(de)是(s"₩×hì),雲一(yī)樣不(bù)能(néng)保證這(zhè)一(yī)點。
濫用(yòng)和(hé)惡意使用(yòng)雲計(jì)™ σ算(suàn):
基礎設施即服務(IaaS)提供商往往會(huì)聲稱可(kě)以為(wèi)客戶提供無限₹β制(zhì)的(de)計(jì)算(suà×≈≤↔n)、網絡和(hé)存儲容量,但(dàn)這(zhè)些(xiē)都(dōu)是(shì)幻覺,是>↓ ≥(shì)浮雲。
如(rú)果提供商提供免費(fèi)的(de)有(yǒu)限的(de)試用(yòng)期,大 ₹(dà)門(mén)也(yě)将會(huì)向垃圾郵件(jiàn)發送者,惡意軟件(j §≥iàn)作(zuò)者和(hé)網絡犯罪人(rén)員(yuán)敞開(kāi♥∑≠),他(tā)們可(kě)以在雲中匿名操作(zuò)♠&←,以逃避懲罰。
過去(qù),隻有(yǒu)平台即服務(PaaS)提供商是π☆'(shì)攻擊者的(de)目标,但(dàn)世界在變化(huà),現(xiàn) ≥λ在IaaS提供商也(yě)不(bù)再安全了(leα♥±),企業(yè)和(hé)個(gè)人(rén)需要(yào)≠σπ擔心諸如(rú)密鑰破解,分(fēn)布式拒絕服務攻擊(DDoS),托管惡意數(shù)據和(♣↕± hé)彩虹表等因素。
不(bù)安全的(de)接口和(hé)API:
對(duì)大(dà)多(duō)數(shù)企業(yè)而言,轉移到(dào)雲γγγ∑是(shì)不(bù)可(kě)避免的(de),遺憾的(de)是(shì),服務提供商隻是≥π☆♦(shì)熱(rè)心于叫你(nǐ)遷移到(dào)雲,而不(bù)思考他(tā)們API§λ和(hé)接口中的(de)不(bù)安全因素。
通(tōng)常情況下(xià),管理(lǐ)、業(yè)務流程、配™∑₽置和(hé)監控都(dōu)是(shì)通(tōng)過這(zhèΩ ↓)些(xiē)接口執行(xíng)的(de),安全和(hé)可(kě¶ )用(yòng)性完全依賴于每個(gè)基礎API內(nèi)∑♣ ✔置的(de)安全性。
從(cóng)身(shēn)份認證到(dào)訪問(wèn)控制(zhì),再到(dào)加✔☆密和(hé)監控都(dōu)在在這(zh≥¶₽è)些(xiē)API中體(tǐ)現(xiàn)出來(lái),但(dàn)↕'↔£現(xiàn)在它們通(tōng)常沒有(yǒu)這(zh®βè)樣設計(jì),這(zhè)意味著(zhe)不(bù)但(dàn)可(k" ě)能(néng)發生(shēng)無辜的(de)事(shì)故,惡意活動的(de)←♦ α成功幾率也(yě)會(huì)越來(lái)越高(gāo)。
通(tōng)常,組織和(hé)第三方都(dōu)會↓•(huì)使用(yòng)這(zhè)些(xiē)現(xiàn)成的(d≥→e)API走捷徑,要(yào)實現(xiàn)對(duì)數(shù)據的(de"♥ )保護,你(nǐ)需要(yào)脫去(qù)這(zhè)些(xiē)APIα∞的(de)外(wài)衣,重新封裝一(yī)層安全保護§§☆層。
不(bù)懷好(hǎo)意的(de)內(nèi)部人(rén)員(yuán):
這(zhè)些(xiē)人(rén)永遠(yu∏÷ǎn)不(bù)會(huì)消失,大(dà)多(duō)數(shù)企業(↑↕₽yè)已經意識到(dào)不(bù)懷好(hǎo)意的(de)雇員(λδ≠×yuán)可(kě)能(néng)會(huì)破壞數(shù)據,遺憾的(de)是(shì),♦≤在雲端一(yī)樣不(bù)能(néng)幸免,α×事(shì)實上(shàng),轉移到(dào)雲§©♥中後,內(nèi)部人(rén)員(yuán)破壞數(shù)據的(de)可(kě)€ ↔能(néng)性還(hái)越來(lái)越大(dà)。
由于客戶隻有(yǒu)一(yī)個(gè)管理(lǐ)域,加上(←★δshàng)提供商缺乏透明(míng)度,導緻缺陷被÷★↓α放(fàng)大(dà)。
例如(rú),雲提供商可(kě)能(néng)不(bù)會(huì)透露它是(shì)如∏"♥(rú)何授權雇員(yuán)訪問(wèn)物(wù)理(&₽εlǐ)或虛拟數(shù)據,如(rú)何監控這(zhè)些(xiē)× "雇員(yuán)的(de)操作(zuò)行(xíng)為(wèε≤i),或如(rú)何分(fēn)析操作(zuò)報(bào)告的(de),★☆ 他(tā)們僅僅為(wèi)你(nǐ)提供了(le)一(yī)個(gè)快(ku♥♦ài)速,劃算(suàn)的(de)業(yè)務增長(c±'háng)方法,但(dàn)不(bù)會(huì)提供任何有(yǒu)關雇員(yuán)在雲 σ中如(rú)何工(gōng)作(zuò)的(de)可(π<"kě)視(shì)化(huà)報(bào)告。
這(zhè)使得(de)黑(hēi)客、商業(yè)間&↔(jiān)諜、犯罪集團、甚至國(guó)家₩☆≈(jiā)贊助的(de)入侵者對(duì)雲中的(de)數(shù)←↔σ據更感興趣。
未知(zhī)的(de)風(fēng)險預測:
雲計(jì)算(suàn)的(de)一(yī"≤∑)個(gè)信條是(shì)減少(shǎo)硬件(jiàn)和(hé)軟件(jiàn)≥§&₩所有(yǒu)權和(hé)維護權,釋放(fàng)最終用(yòng)戶的(de)壓×€π力,讓他(tā)們專注于核心業(yè)務的(de)強項。
但(dàn)财務和(hé)運營方面的(✘λde)好(hǎo)處需要(yào)結合所有(yǒu)安全擔心進行(xíng)權衡,毫無∑₩"疑問(wèn),雲會(huì)讓你(nǐ)的(de)生(shēng)活更加簡單×♣,但(dàn)它也(yě)可(kě)能(néng♦☆)讓你(nǐ)死于安樂(yuè)。
你(nǐ)在調查雲提供商時(shí),諸如(rú)軟件(jiàn)代碼更新,安全補 Ω∞€丁,缺陷預測,入侵嘗試和(hé)安全設計(jì)等都(dōu)λ♠★應該被涉及。
數(shù)據本身(shēn)需要(yào)得(de)到(dào)保護才能(néng)确保•€™¥它在雲中的(de)安全,不(bù)能(néng)隻依靠雲提供商,他(tā)們頂多(du♠¶γō)能(néng)保證環境100%的(de)安全,α"你(nǐ)自(zì)己必須确保對(duì)數(shù)據采取了(le)≥δ切實有(yǒu)效的(de)保護措施,那(nàσ±€)麽什(shén)麽措施才是(shì)切實有(yǒu)效的(de)♥ε÷呢(ne)?
我認為(wèi)保護雲中的(de)數(shù)據最核>♥φ心的(de)需求是(shì)數(shù)據加密,數(shù)據加密是(shì)使用(yòn ≠Ωg)專業(yè)軟件(jiàn)對(duì)相(xiàng)關數(shù)↕•↑據進行(xíng)自(zì)動加密和(hé)各種應用(yòn£g)權限設置,就(jiù)算(suàn)被盜也(yě)打不(b®ε¥ù)開(kāi),以此達到(dào)保護敏感數(shù)據。
上(shàng)一(yī)篇:沒有(yǒu)了(le)
下(xià)一(yī)篇:企業(yè)在信息化(huà)安全建設中的(de)三大(dà)誤區(qū)α∏
