1.云端问题
云安全联盟与惠普公司共同列出了云计算的七大问题,主要是基于对29家企业、技术供应商和咨询公司的调查结果而得出的结论:
1)数据丢失/泄漏。云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄露,并且还可能缺乏必要的数据销毁政策。
2)共享技术漏洞。在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,所以必须为网络和服务器配置执行服务等级协议(Service-Level Ag.’eement,SLA)以确保及时安装修复程序以及实施最佳做法。
3)内奸。云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
4)账户、服务和通信劫持。很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱,那么入侵者就可以轻松获取用户账号并登录客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
5)不安全的应用程序接口。在开发应用程序方面,企业必须将云计算看作新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程 开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
6)没有正确运用云计算。在运用技术方面,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。
7)未知的风险。透明度问题一直困扰着云服务供应商,账户用户仅使用前端界面,他们不知道供应商使用的是哪种平台或者修复水平。
2.客户端问题
客户云安全有网络方面的担忧。有一些反病毒软件在脱离互联网之后,性能大大下降。而实际应用中也不乏这样的情况。由于病毒破坏、网络环境等因素,在网络上一旦出现问题,云技术就反而成了累赘。
针对客户端问题,解决的方式是采用混合云技术,即将公有云与私有云相结合,既发挥了公有云用户量大的优势,又保留了本地的数据能力,结合了传统技术与新技术的优点,可解决不少应用问题。
3.企业云安全解决方案
(1)内部私有云,奠定云计算基础
提升云安全的第一个方法了解自己。企业需要对现有的内部私有云环境,以及企业为此云环境所构建的安全系统和程序有深刻的理解,并从中汲取经验。在过去数十年中,大中型企业都在设置云环境,虽然他们将其称之为“共享服务”而不是“云”。这些“共享服务”包括验证服务、配置服务、数据库服务、企业数据中心等,这些服务一般都以相对标准化的硬件和操作系统平台为基础。
(2)风险评估,商业安全的重要保障
提升云安全的第二种方法—一对各种需要IT支持的业务流程进行风险性和重要性的评估。企业可能很容易计算出采用云环境所节约的成本,但是“风险/收益比”同样不可忽视,必须首先了解这个比例关系中的风险因素。云服务供应商无法为企业完成风险分析,因为这完全取决于业务流程所在的商业环境。对于成本较高的服务等级协议( SLA)应用,云计算无疑是首选方案。作为风险评估的一部分,企业还应考虑到潜在的监管影响,因为监管机构禁止某些数据和服务出现在企业、州或国家之外的地区。
(3)不同云模型,精准支持不同业务
提升云安全的第三种方法 企业应了解不同的云模式(公共云、私有云与混合云)以及不同的云类堃( SaaS,PaaS,IaaS),因为它们之间的区别将对安全控制和安全责任产生直接影响。根据自身组织环境以及业务风险状况(见第(2)条的分析),所有企业都应具备针对云的相应观点或策略。
(4) SOA体系结构,云环境的早期体验
提升云安全的第四个方法——将面向服务的架构( Service Oriented Architecture,SOA)设计和安全原则应用十2:(朴蛻。多数企业在几年前就已将SOA原则运用于应用开发流程。其实,云环境就是SOA的大规模扩展。面向服务的架构的下一个逻辑发展阶段就是云环境。企业可将SOA高度分散的安全执行原则与集中式安全政策管理和决策制订相结合,并直接运用于云环境。在将重心由SOA转向云环境时,企业无须重新制订这些安全策略,只需将原有策略转移到云环境即可。
(5)双重角色转换,填补云计算生态链
提升云安全的第五个方法 从云服务供应商的角度考虑问题。多数企业刚开始都会把自己看作云服务用户,但是不要忘记,企业组织也是生态链的组成部分,也需要向客户和合作伙伴提供服务。如果能够实现风险与收益的平衡,从而实现云服务的利益最大化,那么企业也可以遵循这种思路,适应自己在这个生态链中的云服务供应商的角色。这样做也能够帮助企业更好地了解云服务供应商的工作流程。
(6)网络安全标准,设置自身“防火墙”
提升云安全的第六个方法Ljil悉企业自身,并启用网络安全标准。长期以来,网络安全产业一直致力于实现跨域系统的安全和高效管理,已经制定了多项行之有效的安全标准,并已将其用于或即将用于保障云服务的安全。为了在云环境世界里高效工作,企业必须采用这些标准,它们包括安全断言标记语言( Security Assertion Markup Language,S/UML),服务配置标记语言(Service Provisioning Markup Language,SPlvIL),可扩展访问控制标记语言(Extensible Access Control Markup Language, XACML)和网络服务安全(WS-Security)。
免责声明:凡本网注明“来源:XXX(非本网)”的作品均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。
本周已有 568 人提交加盟信息
智家网客服中心竭诚为您服务