-
任子行云安全
任子行云安全問題:
云端問題
云計(jì)算安全七宗罪云安全聯(lián)盟與惠普公司共同列出了云計(jì)算的七宗罪,主要是基于對(duì)29家企業(yè)、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論。
1. 數(shù)據(jù)丟失/泄漏:云計(jì)算中對(duì)數(shù)據(jù)的安全控制力度并不是十分理想,API訪問權(quán)限控制以及密鑰生成、存儲(chǔ)和管理方面的不足都可能造成數(shù)據(jù)泄漏,并且還可能缺乏必要的數(shù)據(jù)銷毀政策。
2. 共享技術(shù)漏洞:在云計(jì)算中,簡單的錯(cuò)誤配置都可能造成嚴(yán)重影響,因?yàn)樵朴?jì)算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置,因此必須為網(wǎng)絡(luò)和服務(wù)器配置執(zhí)行服務(wù)水平協(xié)議(SLA)以確保及時(shí)安裝修復(fù)程序以及實(shí)施最佳做法。
3. 內(nèi)奸:云計(jì)算服務(wù)供應(yīng)商對(duì)工作人員的背景調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權(quán)限的控制力度有所不同,很多供應(yīng)商在這方面做得還不錯(cuò),但并不夠,企業(yè)需要對(duì)供應(yīng)商進(jìn)行評(píng)估并提出如何篩選員工的方案。
4. 帳戶、服務(wù)和通信劫持:很多數(shù)據(jù)、應(yīng)用程序和資源都集中在云計(jì)算中,而云計(jì)算的身份驗(yàn)證機(jī)制如果很薄弱的話,入侵者就可以輕松獲取用戶帳號(hào)并登陸客戶的虛擬機(jī),因此建議主動(dòng)監(jiān)控這種威脅,并采用雙因素身份驗(yàn)證機(jī)制。
5.不安全的應(yīng)用程序接口:在開發(fā)應(yīng)用程序方面,企業(yè)必須將云計(jì)算看作是新的平臺(tái),而不是外包。在應(yīng)用程序的生命周期中,必須部署嚴(yán)格的審核過程,開發(fā)者可以運(yùn)用某些準(zhǔn)則來處理身份驗(yàn)證、訪問權(quán)限控制和加密。 6. 沒有正確運(yùn)用云計(jì)算:在運(yùn)用技術(shù)方面,黑客可能比技術(shù)人員進(jìn)步更快,黑客通常能夠迅速部署新的攻擊技術(shù)在云計(jì)算中自由穿行。
7.未知的風(fēng)險(xiǎn):透明度問題一直困擾著云服務(wù)供應(yīng)商,帳戶用戶僅使用前端界面,他們不知道他們的供應(yīng)商使用的是哪種平臺(tái)或者修復(fù)水平。
客戶端問題
對(duì)于客戶來說,云安全有網(wǎng)絡(luò)方面的擔(dān)憂。有一些反病毒軟件在斷網(wǎng)之后,性能大大下降。而實(shí)際應(yīng)用當(dāng)中也不乏這樣的情況。由于病毒破壞,網(wǎng)絡(luò)環(huán)境等因素,在網(wǎng)絡(luò)上一旦出現(xiàn)問題,云技術(shù)就反而成了累贅,幫了倒忙。
解決方式
一種“混合云”技術(shù),將公有云與私有云相結(jié)合,既發(fā)揮了公有云用戶量大的優(yōu)勢(shì),又保留了本地的數(shù)據(jù)能力,結(jié)合了傳統(tǒng)與新技術(shù)的優(yōu)勢(shì),解決了不少應(yīng)用問題。
云端問題
云計(jì)算安全七宗罪云安全聯(lián)盟與惠普公司共同列出了云計(jì)算的七宗罪,主要是基于對(duì)29家企業(yè)、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論。
1. 數(shù)據(jù)丟失/泄漏:云計(jì)算中對(duì)數(shù)據(jù)的安全控制力度并不是十分理想,API訪問權(quán)限控制以及密鑰生成、存儲(chǔ)和管理方面的不足都可能造成數(shù)據(jù)泄漏,并且還可能缺乏必要的數(shù)據(jù)銷毀政策。
2. 共享技術(shù)漏洞:在云計(jì)算中,簡單的錯(cuò)誤配置都可能造成嚴(yán)重影響,因?yàn)樵朴?jì)算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置,因此必須為網(wǎng)絡(luò)和服務(wù)器配置執(zhí)行服務(wù)水平協(xié)議(SLA)以確保及時(shí)安裝修復(fù)程序以及實(shí)施最佳做法。
3. 內(nèi)奸:云計(jì)算服務(wù)供應(yīng)商對(duì)工作人員的背景調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權(quán)限的控制力度有所不同,很多供應(yīng)商在這方面做得還不錯(cuò),但并不夠,企業(yè)需要對(duì)供應(yīng)商進(jìn)行評(píng)估并提出如何篩選員工的方案。
4. 帳戶、服務(wù)和通信劫持:很多數(shù)據(jù)、應(yīng)用程序和資源都集中在云計(jì)算中,而云計(jì)算的身份驗(yàn)證機(jī)制如果很薄弱的話,入侵者就可以輕松獲取用戶帳號(hào)并登陸客戶的虛擬機(jī),因此建議主動(dòng)監(jiān)控這種威脅,并采用雙因素身份驗(yàn)證機(jī)制。
5.不安全的應(yīng)用程序接口:在開發(fā)應(yīng)用程序方面,企業(yè)必須將云計(jì)算看作是新的平臺(tái),而不是外包。在應(yīng)用程序的生命周期中,必須部署嚴(yán)格的審核過程,開發(fā)者可以運(yùn)用某些準(zhǔn)則來處理身份驗(yàn)證、訪問權(quán)限控制和加密。 6. 沒有正確運(yùn)用云計(jì)算:在運(yùn)用技術(shù)方面,黑客可能比技術(shù)人員進(jìn)步更快,黑客通常能夠迅速部署新的攻擊技術(shù)在云計(jì)算中自由穿行。
7.未知的風(fēng)險(xiǎn):透明度問題一直困擾著云服務(wù)供應(yīng)商,帳戶用戶僅使用前端界面,他們不知道他們的供應(yīng)商使用的是哪種平臺(tái)或者修復(fù)水平。
客戶端問題
對(duì)于客戶來說,云安全有網(wǎng)絡(luò)方面的擔(dān)憂。有一些反病毒軟件在斷網(wǎng)之后,性能大大下降。而實(shí)際應(yīng)用當(dāng)中也不乏這樣的情況。由于病毒破壞,網(wǎng)絡(luò)環(huán)境等因素,在網(wǎng)絡(luò)上一旦出現(xiàn)問題,云技術(shù)就反而成了累贅,幫了倒忙。
解決方式
一種“混合云”技術(shù),將公有云與私有云相結(jié)合,既發(fā)揮了公有云用戶量大的優(yōu)勢(shì),又保留了本地的數(shù)據(jù)能力,結(jié)合了傳統(tǒng)與新技術(shù)的優(yōu)勢(shì),解決了不少應(yīng)用問題。
