根據一項最新的安全威脅報告,2013年,在大多數企業中,基于云的服務應用會拋出新的問題,主要是關于數據連續性、數據安全和可靠性。
Sophos 2013安全威脅報告警示企業在采用基于云的服務時會承擔新的風險。在合同談判期間需要主要解決風險,使得數據在轉移到服務提供商的大型數據中心前就處理好。在一些案例中,基于云的服務增加了一個企業的受攻擊面和削弱既有的安全控制和策略,Chester Wisniewski表示,他是英國安全公司的高級安全咨詢師。
“和律師多做溝通,確保你的所有需求都符合,并要清晰的指出來,以便在事故發生時雙方都知道自己的責任,”Wisniewski表示。
在應用基于云的服務時,企業需要考慮三個問題:
1、如何阻止信息泄露?
Dropbox這樣的服務可以讓員工輕松的存儲和共享包含公司數據的文檔。同時公司首先嘗試嚴格限制第三方服務,比如Dropbox,現在,一些企業增加了控制,比如加密確保敏感數據不會落入不合適的人手中,Wisniewski說道。安全技術保護的數據應該適當的部署,同時對于用戶是易于使用的,他說。“你需要在數據進入云端之前知道數據的安全性,”Wisniewski說道。
Wisniewski相信基于云的服務會潛在的擴大企業打破數據安全性的方法。要提供員工用移動設備訪問數據或者遠程在云端鍵入到系統中的安全控制方法。蘋果Ipad應用可以提供加密和解密功能,提供另一個層面的保護。“財務、銷售和市場人員不應該是密碼天才,從而才能報數數據,”他說。
“你要清理所有知道的人員,他們可能就是無意的看一眼,”Wisniewski表示。
2、云提供商是否合適的將審查和安全標準放到合同需求中?
目標黑客學習業務合作伙伴,典型的是小型的公司,服務于大型企業,就能夠進入到主要的合作網絡中。航空與國防產業的部分制造商,運貨商和供應商都有可能落入黑客的十字線中,Wisniewski表示。
“罪犯知道小型企業是大企業的合作伙伴,會有松懈安全問題,但是仍舊是值得信賴的實體,”Wisniewski說道。“這是個實際的問題。”
合同安排應該包括能確保第三方系統被測試并且有適當的安全控制,他說。云提供商應該提供證據,證明符合安全標準,能提供機制允許獨立的測試。“有的公司有PCI評估,因此有一張紙展示了了法規遵從并不能足以衡量這些,”Wisniewski說。
數據保持、故障轉移、緊急事件回應程序、系統監控和維護都應該在合同安排中明確表達。確保如果和云提供商的關系如果破裂,有辦法得到自己的數據并轉移到其他的提供商中。
“如果你非常多疑,你就不能達成以你的標準保護數據的協議,然后你需要做的就是在自己的數據中心運轉,”Wisniewski說,“使用云的企業的成本好處中大部分是分布式的,你不知道數據會去到哪里。這些都是合同控制的。”
3、你能阻止虛擬服務器快照(捕獲當前操作內存圖像——包括所有的工作加密密鑰)嗎?
不使用公有云,很多公司正在使用虛擬機在自己的數據中心中設置私有云。這種方法被看做是減少成本和改善效能的最佳途徑,Wisniewski說道,但是招來了安全問題。
安全研究院已經演示了極端的技術hypervisor攻擊,但是復雜的攻擊風險還是會被網絡罪犯使用,專家說道。相反,企業面對著虛擬機的潛在陷阱。配置錯誤和糟糕的側率會增加缺點,也會為黑客使用來訪問敏感數據。比如,每當虛擬快照捕獲一個系統狀態——備份系統的常用方式,通常密碼和加密密鑰就會在內存中,因為他們必須能夠解密文件。快照是節省時間的方式,也是很好的備份機制,但是需要安全的存儲,Wisniewski說道。
“你不得不在內存中存儲加密密鑰,但是應該在內存中模糊它們,”他說。
