2013 년에 클라우드 서비스를 배포 하기 위한 데이터 보안 문제

최신 위협 보고서에 따르면 데이터 연속성, 데이터 보안 및 안정성에 초점을 맞추고 대부분의 기업에 대 한 새로운 문제가 발생할 것입니다 2013 년에 클라우드 서비스를 배포.

보안 회사 소포 스의 2013 년 위협 보고서 회사 얼굴 클라우드 서비스를 배포할 때 새 데이터 보안 위험을 경고 합니다. 회사는 데이터 서비스 공급자의 대형 데이터 센터에 전송 되기 전에 계약 협상 단계 동안 이러한 위험을 제시 해야 한다. 체스터 Wisniewski, 보안 회사의 수석 보안 관리자, 일부 경우 클라우드에서 서비스 기업 공격 증가 기존 보안 제어 및 정책 약화 했다.

"회사는 그들의 필요 전부 충족 되 고 모든 요구 사항을 계약, 밖으로 명확 하 게 설정 되어 사고가 발생 하면 쌍방 어디에 있는지, 알 수 있도록 되도록 그들의 변호사와 통신 더 많은 시간을 할애 해야한다" Wisniewski 말했다. 그는 기업이 클라우드 서비스를 배포할 때 세 가지 문제를 고려해 볼 필요가 말합니다.

1. 정보 공개를 방지 하는 방법?

Dropbox 서비스 직원 들이 쉽게 저장 하 고 기업 데이터를 포함 하는 문서 공유 가능 회사 처음 "호감" (Dropbox) 등 제 3 자 서비스 하 려 하지만 중요 한 데이터에 빠지지 않는 되도록 컨트롤 (예: 암호화)를 추가 하는 동안 이러한 서비스를 받아 회사를 시작 하는 지금. Wisniewski 기업 데이터 보호 보안 기술을 올바르게 배포 하 고 운영 하기 쉽도록 해야, 라고 그는 말한다. "구름에 도달 하기 전에 데이터를 보호 하 고 있는지 확인 해야 합니다." "

Wisniewski는 클라우드 기반 서비스는 원래 "조각난된" 데이터 보안 접근을 향상 시킬 수 있습니다 믿고 있다. 조직에서는 다양 한 직원 모바일 장치를 사용 하 여 데이터를 안전 하 게 액세스할 수 있는 또는 원격으로 클라우드 시스템을 입력을 확인 하는 방법에에서 보안 컨트롤을 배포할 수 있습니다. 암호화 및 암호 해독에 대 한 보호 계층을 제공 하는 애플 ipad 응용 프로그램, 그는 말한다: "금융, 판매 및 마케팅 사람들 높은 암호화 기술 없이도 데이터를 보호할 수 있습니다." "

2. 계약 요구 사항에서 그것은 클라우드 공급 업체 제대로 시험 될 필요가 있고 안전 표준 정의 여부 규정은?

타겟된 공격자는 비즈니스 파트너, 종종 작은 기업 큰 기업, 봉사 하는 대기업의 네트워크의 "위반"을 배웠습니다. Wisniewski 부품 제조 업체, 운송업, 항공 우주 공급 업체 그리고 방위 산업 공격자에 의해 악용 될 수 있습니다. "사이버 범죄자 았는 대기업의 비즈니스 파트너는 일반적으로 작은 기업, 그들의 보안 방어는 허 술, 하지만 그들은 여전히 신뢰할 수 있는 엔터티는 진짜 문제가 되고있다 대기업의." "

계약 기업 제 3 자 시스템 검토 되었는지 여부를 확인할 수 있는 명확 하 고 있는지 그것은 적절 한 보안 제어 그것을 만들어야 한다. 클라우드 공급자 그들은 안전 기준을 충족 하 고 독립적인 테스트를 수행 하는 기업 수 있도록 메커니즘을 제공 하는 증거를 제공 해야 합니다. Wisniewski 말했다: "PCI 평가 전에 달에 신용 카드 유출 사고에 일부 기업, 최종 결과 표시 준수 부여 하지 않았습니다 인해 주의." "

데이터 보존, 장애 조치, 사고 대응, 시스템 모니터링 및 유지 보수 계약 계약 기업과 클라우드 서비스 공급자 간의 관계 변화, 엔터프라이즈가 다른 공급 업체에 전송 하 고 데이터를 제거 하는 방법을 명확 하 게 규정 한다.

"만약 당신이 조금 편집증, 당신의 기준에 따라 데이터를 보호 하는 공급 업체와 일관 된 계약 없이, 당신은 실행 해야 합니다 자신의 데이터 센터," Wisniewski 말했다. "클라우드 컴퓨팅 서비스를 사용 하는 비용의 부분은 널리 배포 하 고 데이터를 있을 것 이다 모르는. 일부 데이터 계약 통제 될 수 있습니다 하지만 다른 부분, 대부분의 경우에서 컨트롤 내에서 누군가가 당신의 데이터를 서버의 하드 드라이브를 꺼낼 수 있습니다. "

3. 스냅샷 가상 서버 (는 현재 실행 중인 메모리 이미지를 포함 하 여 캡처 모든 실행 중인 암호화 키)를 방지할 수 있습니다?

공용 클라우드를 사용 하 여, 대신 많은 기업 데이터 센터 내에서 사설 클라우드를 만드는 가상 컴퓨터를 사용 합니다. Wisniewski 말한다이 이렇게 비용을 절감 하 고 효율성을 개선 하는 좋은 방법으로 간주 됩니다 하지만 그것은 또한 데이터 보안 문제를 발생 시킵니다.

전문가 들은 보안 연구원 고도의 기술 관리 프로그램 공격 가능 인지 확인, 하는 동안 사이버 범죄자는이 복잡 한 공격 가능성이. 기업에 직면 하는 문제는 가상 서버 내에서 잠재적인 결함. 구성 오류와 나쁜 정책을 중요 한 데이터에 액세스 하는 공격자에 의해 악용 될 수 있습니다. 예, 가상 스냅샷 캡처 시스템 상태 (백업 시스템의 일반적인 방법) 때 일반적인 암호 및 암호화 키는 메모리에 파일의 암호를 해독 하는 데 사용 될 필요가 있기 때문에입니다. 스냅숏은 시간 절약 그리고 좋은 백업 메커니즘, 하지만 기업 스냅샷을 안전 하 게 저장 해야 합니다. "메모리에 암호화 키를 유지 해야 하지만 메모리에서 암호화 키를 흐리게 한다" 라고 말합니다. "

(책임 편집기: 루 광)