根據(jù)一項最新的安全威脅報告,2013年,在大多數(shù)企業(yè)中,基于云的服務應用會拋出新的問題,主要是關于數(shù)據(jù)連續(xù)性、數(shù)據(jù)安全和可靠性。
Sophos 2013安全威脅報告警示企業(yè)在采用基于云的服務時會承擔新的風險。在合同談判期間需要主要解決風險,使得數(shù)據(jù)在轉移到服務提供商的大型數(shù)據(jù)中心前就處理好。在一些案例中,基于云的服務增加了一個企業(yè)的受攻擊面和削弱既有的安全控制和策略,Chester Wisniewski表示,他是英國安全公司的高級安全咨詢師。
“和律師多做溝通,確保你的所有需求都符合,并要清晰的指出來,以便在事故發(fā)生時雙方都知道自己的責任,”Wisniewski表示。
在應用基于云的服務時,企業(yè)需要考慮三個問題:
1、如何阻止信息泄露?
Dropbox這樣的服務可以讓員工輕松的存儲和共享包含公司數(shù)據(jù)的文檔。同時公司首先嘗試嚴格限制第三方服務,比如Dropbox,現(xiàn)在,一些企業(yè)增加了控制,比如加密確保敏感數(shù)據(jù)不會落入不合適的人手中,Wisniewski說道。安全技術保護的數(shù)據(jù)應該適當?shù)牟渴穑瑫r對于用戶是易于使用的,他說。“你需要在數(shù)據(jù)進入云端之前知道數(shù)據(jù)的安全性,”Wisniewski說道。
Wisniewski相信基于云的服務會潛在的擴大企業(yè)打破數(shù)據(jù)安全性的方法。要提供員工用移動設備訪問數(shù)據(jù)或者遠程在云端鍵入到系統(tǒng)中的安全控制方法。蘋果Ipad應用可以提供加密和解密功能,提供另一個層面的保護。“財務、銷售和市場人員不應該是密碼天才,從而才能報數(shù)數(shù)據(jù),”他說。
“你要清理所有知道的人員,他們可能就是無意的看一眼,”Wisniewski表示。
2、云提供商是否合適的將審查和安全標準放到合同需求中?
目標黑客學習業(yè)務合作伙伴,典型的是小型的公司,服務于大型企業(yè),就能夠進入到主要的合作網(wǎng)絡中。航空與國防產(chǎn)業(yè)的部分制造商,運貨商和供應商都有可能落入黑客的十字線中,Wisniewski表示。
“罪犯知道小型企業(yè)是大企業(yè)的合作伙伴,會有松懈安全問題,但是仍舊是值得信賴的實體,”Wisniewski說道。“這是個實際的問題。”
合同安排應該包括能確保第三方系統(tǒng)被測試并且有適當?shù)陌踩刂疲f。云提供商應該提供證據(jù),證明符合安全標準,能提供機制允許獨立的測試。“有的公司有PCI評估,因此有一張紙展示了了法規(guī)遵從并不能足以衡量這些,”Wisniewski說。
數(shù)據(jù)保持、故障轉移、緊急事件回應程序、系統(tǒng)監(jiān)控和維護都應該在合同安排中明確表達。確保如果和云提供商的關系如果破裂,有辦法得到自己的數(shù)據(jù)并轉移到其他的提供商中。
“如果你非常多疑,你就不能達成以你的標準保護數(shù)據(jù)的協(xié)議,然后你需要做的就是在自己的數(shù)據(jù)中心運轉,”Wisniewski說,“使用云的企業(yè)的成本好處中大部分是分布式的,你不知道數(shù)據(jù)會去到哪里。這些都是合同控制的。”
3、你能阻止虛擬服務器快照(捕獲當前操作內(nèi)存圖像——包括所有的工作加密密鑰)嗎?
不使用公有云,很多公司正在使用虛擬機在自己的數(shù)據(jù)中心中設置私有云。這種方法被看做是減少成本和改善效能的最佳途徑,Wisniewski說道,但是招來了安全問題。
安全研究院已經(jīng)演示了極端的技術hypervisor攻擊,但是復雜的攻擊風險還是會被網(wǎng)絡罪犯使用,專家說道。相反,企業(yè)面對著虛擬機的潛在陷阱。配置錯誤和糟糕的側率會增加缺點,也會為黑客使用來訪問敏感數(shù)據(jù)。比如,每當虛擬快照捕獲一個系統(tǒng)狀態(tài)——備份系統(tǒng)的常用方式,通常密碼和加密密鑰就會在內(nèi)存中,因為他們必須能夠解密文件。快照是節(jié)省時間的方式,也是很好的備份機制,但是需要安全的存儲,Wisniewski說道。
“你不得不在內(nèi)存中存儲加密密鑰,但是應該在內(nèi)存中模糊它們,”他說。
