當前,安全和隱私問題仍然是妨礙許多企業採用雲服務最大的絆腳石。分析人士建議,企業應首先建立一套涉及到六大安全問題的數據安全計劃。
因為如果不這樣做,可能會增加企業採用雲計算的成本和複雜性,同時也不利於長期保護數據隱私,解決好安全性和彈性方面的基本問題,以下就是企業亟待解決的六大安全問題:
1. 違反通知和數據駐留
並非所有的數據都需要同等的保護級別,因此,企業應該對雲存儲的數據進行分類,在數據違反通知或如果數據不得存放在其他司法管轄區時的識別有關的合規性要求。企業應該設立一套企業數據安全計劃,從政府執法部門的角度確定業務管理訪問流程。該計劃應充分考慮到利益相關者,如從法律、合同、經營單位、安全和IT等諸多方面進行考慮。
2. 休眠時期的數據管理
企業應該詢問具體的問題,以確定雲服務提供商存儲數據的生命週期和安全政策。企業應該搞清楚的問題包括:如果是使用的多租戶存儲模式,搞清楚住戶之間採用的是什麼分離機理;諸如標籤之類的機制是用來防止數據被複制到特定的國家或地區;用於歸檔和備份的存儲是加密的,確保密鑰管理策略包括一套強有力的身份識別和訪問管理政策,限制在一定的司法管轄區內。建議企業通過使用刪除密鑰以切碎數字數據信息,來實現壽命結束的加密戰略,同時確保密鑰沒有妥協或被複制。
3. 運行過程中的數據保護
作為最低要求,企業至少要確保雲服務提供商將支持安全通信協議,如SSL/TLS瀏覽器訪問或基於VPN連接的訪問以保護他們的服務系統。研究報告稱,企業總是加密在雲中運行的敏感數據。但如果數據是未加密的,同時正在被使用或儲存,減輕或使得企業免遭數據破壞將是義不容辭的責任。在IaaS中,企業更加青睞雲服務提供商提供網絡租戶之間的分離,使一個租戶不能看到其他租戶的網絡流量。
4. 加密密鑰管理
企業應始終瞄準管理加密密鑰。但如果這是由一個雲加密供應商所提供的,他們必須確保訪問管理控制到位,滿足違反通知要求和數據駐留。如果密鑰由雲服務提供商管理,那麼企業應該要求基於硬件的密鑰管理系統是在嚴格定義和管理的關鍵管理流程範圍內。當密鑰是在雲中管理,當務之急是供應商提供嚴密的控制和現場負載監控,以防止潛在的快照分析獲得密鑰的風險。
5. 訪問權限控制
建議企業要求雲服務提供商支持IP子網訪問限制政策,使企業可以限制已知的IP地址範圍和設備的最終用戶訪問。企業應該要求加密提供者提供足夠的用戶訪問和管理控制,更強的身份驗證,如雙因素身份驗證、訪問權限管理、以及分離安全管理職責,例如安全性、網絡和維護。
企業還應該要求:對所有訪問雲資源的用戶和管理員進行記錄,並以適當的格式提供給企業管理日誌或安全信息和事件管理系統;雲服務提供商限制訪問敏感系統管理工具可能帶來的“快照”現場工作負載,進行數據遷移,數據備份或恢復數據;遷移或快照工具捕獲的圖像與其它敏感的企業數據享有相同的安全處理標準。
6. 長期彈性的加密系統
建議企業需要了解應用程序和數據庫索引、搜索和排序的影響。他們應該特別注意先進的搜索功能,如子串匹配的功能和通配符,如“包含”或“以…結束”。加密供應商是否提供諸如“功能保存加密”的選項。例如,保存排序規則,要求使用規範和批准的算法,或可能削弱獨立認證加密。
閱讀更多 網絡安全焦點 的文章
