根据一项最新的安全威胁报告,2013年,在大多数企业中,基于云的服务应用会抛出新的问题,主要是关于数据连续性、数据安全和可靠性。
Sophos 2013安全威胁报告警示企业在采用基于云的服务时会承担新的风险。在合同谈判期间需要主要解决风险,使得数据在转移到服务提供商的大型数据中心前就处理好。在一些案例中,基于云的服务增加了一个企业的受攻击面和削弱既有的安全控制和策略,Chester Wisniewski表示,他是英国安全公司的高级安全咨询师。
“和律师多做沟通,确保你的所有需求都符合,并要清晰的指出来,以便在事故发生时双方都知道自己的责任,”Wisniewski表示。
在应用基于云的服务时,企业需要考虑三个问题:
1、如何阻止信息泄露?
Dropbox这样的服务可以让员工轻松的存储和共享包含公司数据的文档。同时公司首先尝试严格限制第三方服务,比如Dropbox,现在,一些企业增加了控制,比如加密确保敏感数据不会落入不合适的人手中,Wisniewski说道。安全技术保护的数据应该适当的部署,同时对于用户是易于使用的,他说。“你需要在数据进入云端之前知道数据的安全性,”Wisniewski说道。
Wisniewski相信基于云的服务会潜在的扩大企业打破数据安全性的方法。要提供员工用移动设备访问数据或者远程在云端键入到系统中的安全控制方法。苹果Ipad应用可以提供加密和解密功能,提供另一个层面的保护。“财务、销售和市场人员不应该是密码天才,从而才能报数数据,”他说。
“你要清理所有知道的人员,他们可能就是无意的看一眼,”Wisniewski表示。
2、云提供商是否合适的将审查和安全标准放到合同需求中?
目标黑客学习业务合作伙伴,典型的是小型的公司,服务于大型企业,就能够进入到主要的合作网络中。航空与国防产业的部分制造商,运货商和供应商都有可能落入黑客的十字线中,Wisniewski表示。
“罪犯知道小型企业是大企业的合作伙伴,会有松懈安全问题,但是仍旧是值得信赖的实体,”Wisniewski说道。“这是个实际的问题。”
合同安排应该包括能确保第三方系统被测试并且有适当的安全控制,他说。云提供商应该提供证据,证明符合安全标准,能提供机制允许独立的测试。“有的公司有PCI评估,因此有一张纸展示了了法规遵从并不能足以衡量这些,”Wisniewski说。
数据保持、故障转移、紧急事件回应程序、系统监控和维护都应该在合同安排中明确表达。确保如果和云提供商的关系如果破裂,有办法得到自己的数据并转移到其他的提供商中。
“如果你非常多疑,你就不能达成以你的标准保护数据的协议,然后你需要做的就是在自己的数据中心运转,”Wisniewski说,“使用云的企业的成本好处中大部分是分布式的,你不知道数据会去到哪里。这些都是合同控制的。”
3、你能阻止虚拟服务器快照(捕获当前操作内存图像——包括所有的工作加密密钥)吗?
不使用公有云,很多公司正在使用虚拟机在自己的数据中心中设置私有云。这种方法被看做是减少成本和改善效能的最佳途径,Wisniewski说道,但是招来了安全问题。
安全研究院已经演示了极端的技术hypervisor攻击,但是复杂的攻击风险还是会被网络罪犯使用,专家说道。相反,企业面对着虚拟机的潜在陷阱。配置错误和糟糕的侧率会增加缺点,也会为黑客使用来访问敏感数据。比如,每当虚拟快照捕获一个系统状态——备份系统的常用方式,通常密码和加密密钥就会在内存中,因为他们必须能够解密文件。快照是节省时间的方式,也是很好的备份机制,但是需要安全的存储,Wisniewski说道。
“你不得不在内存中存储加密密钥,但是应该在内存中模糊它们,”他说。
