雲存儲存取控制措施實戰經驗

儘管普通消費者在使用這類服務時，不需要有太多的顧慮，但是，在選擇雲存儲服務時，從加密到資料生命週期管理，需要解決很多安全方面的問題。 企業的新興領域關注于定義和控制存取方法以及定義實現基於雲存儲的控制 。

在本文中，我們將解釋為什麼雲存儲存取控制是一個重要問題，以及在制定和實施雲存儲存取控制和架構時，企業應考慮哪些問題。 我們還將討論，在雲供應商情境下，如何評估存取控制。

雲存儲存取控制措施

無論是雲供應商管理員還是企業使用者，管理存取控制應該是首要考慮的問題。 例如，Jacob Williams在2013年的Black Hat Europe會議上介紹關於Dropbox惡意軟體交付、指揮和控制問題，以及說明了自由訪問雲存儲庫是危險的，可能會導致資料洩露。

在2012年，Mat Honan的icloud帳戶被劫持，在這次洩漏事件中，使用了社交工程技術，並可能涉及鍵盤側錄。 同時，由於該事件，許多以消費者為中心的例子，存取控制問題仍然放在第一和中心的位置。 限制哪些人可以訪問雲存儲，如何訪問雲存儲，以及從哪裡訪問雲存儲，在評估雲存儲方案時，這些問題都應該作為重點問題考慮。

以下是企業在實施雲存儲服務時，關於存取控制機制，企業應該關注的一系列問題：

管理工具和其他管理應用存儲的使用者密碼使用加密格式嗎? 如果使用了加密格式，是什麼類型的？ 加密格式經過定期測試嗎？ 此外，存儲管理應用程式允許的密碼長度、類型和持續時間的設定與執行？

雲存儲基礎架構支援什麼類型的安全連線?支援一般的安全通訊協定嗎?如SSLv3 、 TLS和SSH?

活動使用者的會話是否超時? 如果沒有一個合理的超時時間，在空閒用戶端的端點，就會存在會話劫持的風險，是相當糟糕的。

管理工具支援多個管理員配置，來提供細細微性的安全水準? 管理應用程式的訪問和配置雲存儲應該根據時間、日期和功能來配置選項，從而限制管理員的訪問。 所有管理員的操作應該被記錄下來，用於審計和報警，並且這些記錄應提供給企業的安全團隊。

雲存儲管理應用程式是否有能力定義細細微性角色和特權?為了保持適當的職責分離，以及執行最少許可權原則,這種能力應該被認為是強制性的。

除了這些關鍵問題，應該仔細審查雲存儲基礎架構存取方法的整體設計和架構。 企業可以考慮的一種方法是「CloudCapsule，」是一種全新的雲存儲存取控制方法，由喬治亞理工大學資訊安全中心(GTISC)在「 2014年新興網路威脅報告 」中提出。 CloudCapsule利用本地安全虛擬機器，使用者可以利用訪問雲存儲，資料被發送之前會自動加密。 這樣的話，使用者的本地系統與雲服務資料交換之間在一定程度上分離開，同時也使得發送到雲環境中的任何資料都會自動加密。 繼GTISC開發的模型之後，目前很多組織要求所有的雲存儲服務，通過虛擬桌面基礎架構的虛擬機器，可以訪問，可以使用資料丟失防護(DLP)策略進行控制與掃描 。

與雲存儲供應商直接對接的加密閘道，也越來越受歡迎。 例如，CipherCloud代理可以自動加密發送到Amazon的S3、RDS和EBS存儲服務的資料，並且，可以自動加密發送到存儲供應商的資料，如Box。 端點安全工具，如whitelisting和DLP代理也可以用來限制雲存儲用戶端的安裝，並且，新的基於網路的監控工具，比如Skyhigh網路公司可以監控、控制雲存儲服務的訪問。

供應商控制

我們已經明確了組織如何審視雲存儲存取控制，但是，在雲供應商環境內部的存取控制措施，也應該進行仔細評估。 當評估雲存儲供應商時，注意一些已經設置得當的存取控制和資料保護策略：

1.首先，管理使用者，特別是存儲管理員，在訪問存儲元件和內部區域時，應按規定，利用強大的身份驗證方法。

2.供應商存儲環境下，應充分利用隔離和分割技術，比如安全分區，交換器和主機的結構身份認證，超過全球通用名或者iSCSI單獨限定名的值，以及單獨的交換器和整個結構的安全管理。

3.雲服務提供者也應確保，每位客戶的服務系統，與其他網路區分開，不論是在邏輯上還是在物理上，互聯網接入、生產資料庫、開發和中轉區、以及內部應用程式和元件創建了單獨的防火牆區域。

結論

儘管雲存儲為企業提供了許多優勢，但在將資料移轉到雲存儲供應商之前，也有很多不能忽略的安全隱患。 但好在越來越多的安全廠商可以保證組織對雲存儲進行適當的存取控制。 只要企業事先做好準備，並且確保很好地解決了上述問題，雲存儲對企業來說，是一個很好的工具。

免費訂閱「CSDN雲計算（左）和CSDN大資料（右）」微信公眾號，即時掌握第一手雲中消息，瞭解最新的大資料進展！

CSDN發佈虛擬化、Docker、OpenStack、CloudStack、資料中心等相關雲計算資訊，     分享Hadoop、Spark、NoSQL/NewSQL、HBase、Impala、記憶體計算、流計算、 機器學習和智慧演算法等相關大資料觀點，提供雲計算和大資料技術、平臺、實踐和產業資訊等服務。