谁能确保存储在云中敏感数据的真正安全?

作者: TEC 分类: 安全前沿 发布时间: 2011-05-17 16:31 ė 6没有评论

编者按:

所谓“人云亦云”,可能是用来形容目前的云计算领域最为贴切的词语。厂商在谈论云,用户在谈论云,调研机构也在谈论云,究竟什么是云?没人能说清楚。我们需要的不是牵强附会的概念的狂欢,而是根植于用户需求的实际应用。从这一点上,某些厂商言必称云的做法降低了自身的身段,一定程度上也损害了整个云产业的前景 。

前一阵,亚马逊的云计算服务出现了宕机等各种各样的问题,甚至有传言称,近期影响深远的PSN事件中,黑客也利用了亚马逊所提供的云计算服务。我们不禁要问一句,云真的安全么?云计算看起来好像让一切变得触手可及,却也在客户和自己的数据之间蒙上了一层神秘的面纱,是的,你必须承认,你不能确切的知道云端发生了什么。所以,在你把所有的东西都丢进云里之前,为了你的安全,还是好好的考察一下你的云计算提供商,看他们有没有提供足够的放心保证吧!

来源WatchStore

随着云计算大潮越来越热,去年年末的时候思科发布了一份针对IT高层管理人员的调查报告,52%的受访者表示已经在使用或计划使用云计算,遗憾的是,他们在将数据转移到云端时面临的最大障碍是安全,尽管对不安全因素的担心在迅速扩散,但使用云的用户仍然在增长,因为云有很多极具吸引力的优点,如节省成本,协作,效率和移动性。

企业应该仔细研究IT环境的优势和风险,建立充分的数据保护策略,而不是毫无准备地跳入云中。 将业务转移到云端会引入许多不安全因素,所有一切必须遵循一个安全原则,才能确保存储在云中敏感数据的真正安全,这个原则就是:数据本身必须得到有效的保护。

在云端存储数据的不安全因素主要有:

共享的技术问题 IaaS提供商的基础设施是自己建立的,因此具有良好的扩展能力,但这种架构解决方案的挑战是底层组件通常没有为多租户架构提供强大的隔离措施。 解决这个缺陷的快速方法是,使用虚拟化Hypervisor在客户机操作系统和物理计算资源之间起到隔离作用,但如果Hypervisor本身也有缺陷,可能会给上层的客户机操作系统或底层平台带入隐患。 总之,客户不应该有权访问其它客户的数据,但遗憾的是,云一样不能保证这一点。

滥用和恶意使用云计算 基础设施即服务(IaaS)提供商往往会声称可以为客户提供无限制的计算、网络和存储容量,但这些都是幻觉,是浮云。 如果提供商提供免费的有限的试用期,大门也将会向垃圾邮件发送者,恶意软件作者和网络犯罪人员敞开,他们可以在云中匿名操作,以逃避惩罚。 过去,只有平台即服务(PaaS)提供商是攻击者的目标,但世界在变化,现在IaaS提供商也不再安全了,组织需要担心诸如密钥破解,分布式拒绝服务攻击(DDoS),托管恶意数据和彩虹表等因素。

不安全的接口和API 对大多数组织而言,转移到云是不可避免的,遗憾的是,服务提供商只是热心于叫你迁移到云,而不思考他们API和接口中的不安全因素。 通常情况下,管理、业务流程、配置和监控都是通过这些接口执行的,安全和可用性完全依赖于每个基础API内置的安全性。 从身份认证到访问控制,再到加密和监控都在在这些API中体现出来,但现在它们通常没有这样设计,这意味着不但可能发生无辜的事故,恶意活动的成功几率也会越来越高。 通常,组织和第三方都会使用这些现成的API走捷径,要实现对数据的保护,你需要脱去这些API的外衣,重新封装一层安全保护层。

不怀好意的内部人员 这些人不会消失,大多数组织已经意识到不怀好意的雇员可能会破坏数据,遗憾的是,在云端一样不能幸免,事实上,转移到云中后,内部人员破坏数据的可能性还越来越大。 由于客户只有一个管理域,加上提供商缺乏透明度,导致缺陷被放大。 例如,云提供商可能不会透露它是如何授权雇员访问物理或虚拟数据,如何监控这些雇员,或如何分析服从报告的,他们仅仅为你提供了一个快速,划算的业务增长方法,但不会提供任何有关雇员在云中如何工作的可视化报告。 这使得黑客,企业间谍,犯罪集团,甚至国家赞助的入侵者对云中的数据更感兴趣。

未知的风险预测 云计算的一个信条是减少硬件和软件所有权和维护权,释放最终用户的压力,让他们专注于核心业务的强项。 但财务和运营方面的好处需要结合所有安全担心进行权衡,毫无疑问,云会让你的生活更加简单,但它也可能让你死于安乐。 你在调查云提供商时,诸如软件代码更新,安全补丁,缺陷预测,入侵尝试和安全设计等都应该被涉及。 数据本身需要得到保护才能确保它在云中的安全,不能只依靠云提供商,他们顶多能保证环境100%的安全,你自己必须确保对数据采取了切实有效的保护措施,那么什么措施才是切实有效的呢? 虽然没有银弹,我认为保护云中的数据最核心的需求是断词(tokenization),断词是使用别名值或无意义的标识符代替敏感数据,以达到保护敏感数据的过程。 这种方法可以用来保护敏感信息,如信用卡号,个人身份信息(PII),如与健康相关的数据,email,密码和登录信息等。





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=494

0

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部