2013年部署雲服務的資料安全問題

根據最新的威脅報告稱，對於大多數企業而言，在2013年部署雲服務將會引發新的問題，這些問題主要圍繞資料連續性、資料安全性和可靠性。

安全公司Sophos的2013年威脅報告警告稱，企業在部署雲服務時，將面臨新的資料安全風險。 企業應該在合同談判階段就解決這些風險，也就是在資料轉移到服務供應商的大規模資料中心之前。 該安全公司高級安全顧問Chester Wisniewski表示，在某些情況下，雲服務增加了企業的攻擊面，並且，削弱了已有的安全控制和政策。

Wisniewski表示：「企業應該多花時間與律師溝通，以確保企業的所有需求都得到滿足，同時，確保合同中明確列出企業的所有要求，這樣，當發生事故時，雙方都知道自己的責任所在。 」他表示，企業在部署雲服務時需要考慮三個問題。

1.如何防止資訊洩露？

Dropbox等服務使員工能夠輕鬆地存儲和共用包含企業資料的文檔。 最初企業試圖「鎮壓」協力廠商服務（例如Dropbox），但現在企業開始接受這些服務，同時添加了控制（例如加密）以確保敏感性資料不會落入壞人手中。 Wisniewski表示，企業應該正確部署資料保護安全技術，並使使用者的操作簡單，他表示，「你需要確保資料在上傳到雲端前是安全的。 」

Wisniewski認為，基於雲計算的服務能夠增強企業原本「支離破碎的」資料安全辦法。 企業可以通過多種方法部署安全控制，確保員工能安全地使用行動裝置訪問資料或者遠端進入雲中系統。 一款蘋果iPad應用可以提供加密和解密功能以多一層保護，通過這種應用，他表示：「財務、銷售和行銷人員不必具備高超的加密技術就可以保護資料。 」

2.在合同要求中，是否規定雲供應商需要接受適當的審查，是否明確了安全標準？

有針對性的攻擊者已經瞭解到，業務合作夥伴（通常是服務于大型企業的小企業）是進入大型商業網路的「突破口」。 Wisniewski表示，航空航太和國防行業的零部件製造商、運輸商和供應商都可能被攻擊者利用。 「網路罪犯已經意識到，大型企業的業務合作夥伴通常都是小公司，他們的安全防線鬆懈，但仍然是大型企業受信任的實體，這已經成為一個真正的問題。 」

合同中應該明確企業可以檢查協力廠商的系統是否已經經過審查，以及是否具有適當的安全控制。 雲供應商應該提供證據證明他們符合安全標準，並提供一種機制允許企業進行獨立測試。 Wisniewski表示：「有些企業在信用卡洩露事故的數月內才進行PCI評估，最後的結果顯示合規性沒有得到應有的重視。 」

資料保留、容錯移轉、事件回應程式、系統監控和維護都應該在合同協定中進行明確地規定，以確保當企業與雲服務供應商的關係有變化時，企業有辦法取出資料，並轉移到另一個供應商處。

「如果你有些偏執，無法與供應商達成一致的協定以按照你的標準保護資料，那麼，你將需要運行自己的資料中心，」Wisniewski表示，「使用雲計算服務的部分代價在於它是廣泛分散式的，你不知道你的資料將在什麼位置。 有些資料可能受到合同的控制，但其他部分根本不在你的控制範圍內，在很多情況下，可能有人彈出伺服器的硬碟而取走你的資料。 」

3.你能夠防止對虛擬伺服器的快照（捕捉當前運行記憶體鏡像——包括所有運行中的加密金鑰）嗎？

很多企業不是使用公共雲，而是使用虛擬機器來在其資料中心內建立私有雲。 Wisniewski說道，這種方法被認為是降低成本和提高效率的好辦法，但同時它也帶來資料安全性問題。

專家稱，雖然安全研究人員已經證實技術性很強的管理程式攻擊是可行的，但網路罪犯使用這種複雜的攻擊的可能性很小。 企業面對的問題是，虛擬伺服器內的潛在的缺陷。 配置錯誤和糟糕的政策都可能被攻擊者利用來獲取對敏感性資料的存取權限。 例如，當虛擬快照捕捉系統狀態（備份系統的常見方法）時，通常密碼和加密金鑰都在記憶體中，因為需要利用它們來解密檔。 快照非常節省時間，也是一個很好的備份機制，但企業需要安全地存儲快照。 他表示：「你需要將加密金鑰保存在記憶體中，但你應該在記憶體中對加密金鑰進行模糊化。 」

(責任編輯：呂光)