專家淺談雲計算環境的安全性原則

使用雲計算環境的外部網路可以獲得異地存儲備份的優點，但同時也帶來了一些危險：各種病毒、垃圾郵件、惡意軟體和身份竊賊是你可能面臨的一部分威脅。 CIO頻道每週熱"點"文章CIO如何化解IT團隊人際衝突？ 抱守與放棄：CIO該如何抉擇如何重塑政府CIO職能？ 2009年CIO面臨的挑戰以及應對策略三個教訓 我親歷的戰略轉型故事遠離CEO「直覺決策」 CIO如何把握時機？ 據谷歌公司負責GoogleApps的安全主管EranFeigenbaum聲稱，與外面的服務提供者共用資料面臨危險，不過同時也能獲得安全方面的一些好處。 雖然許多公司現在允許雲計算服務提供者訪問自己的資料，「但僅僅共用文件、而不是共用整個基礎架構是一大好處。 」OpSource公司的首席執行官TrebRyan補充說：「你沒必要弄清楚多個安全區域，因為只有一條正面連接。 」這家公司為軟體即服務(SaaS)和互聯網公司提供資料管理及資料傳輸備份服務。 下面，專家們介紹了如何確保雲計算環境的安全。 一、關注打開的東西雲計算服務提供者Salesforce在其信任網站上警告不要打開可疑的電子郵件。 這一個道理似乎很淺顯，但還是有許多人沒有遵照這個建議。 還要關注可疑連結。 Balding建議，應當向供應商詢問事件回應機制。 他表示，萬一有人企圖入侵，供應商應當能夠給予説明。 你還要問一下供應商會不會為你的機器製作鏡像，還是這項工作必須由你自己來完成。 CraigBalding是一家《財富》500強公司的技術安全負責人，開設了介紹雲計算安全的博客。 他建議，如果你打開檔，就要確保網路訪問已經過加密。 他特別指出，亞馬遜並不針對其Web服務業務提供資料加密服務。 Salesforce.com在其信任網站上建議採用像RSA權杖或智慧卡這些雙因數驗證技術。 二、保護雲API金鑰Balding提醒，你需要確保自己的雲API(應用程式設計介面)金鑰安全。 他說：「要是有人弄到了你的訪問金鑰，就能訪問你的一切資料。 要求供應商為你提供多把金鑰，用於保護不同風險類別的各組資料。 」他還建議，應當把生產資料放在一個帳戶中、把開發資料放在另一個帳戶中。 他表示，這樣就可以減小有人闖入不太安全的開發機器所帶來的風險。 三、使用多少付多少Balding建議，為了避免競爭對手積欠帳款，需要多少雲服務、就付多少費用。 他說：「如果使用量急劇增加，設定閾值就很有必要。 」四、複製資料谷歌公司的Feigenbaum強調了跨多個資料中心進行資料複製的重要性。 比方說，萬一東北部出現了災難，仍可以從其他地區訪問資料。 Feigenbaum說：「要是東北部發生了災難，比如說暴風雪，從而導致停電，仍可以從另一個資料中心訪問你的資料，沒有人知道這幕後的一切。 」五、增強端點可靠性Feigenbaum說：「雲計算概念就是把儘量少的資料放在端點設備上。 要保護端點設備的安全很難――無異于把安全從專家的手裡交到使用者的手裡。 」美國聯邦調查局(FBI)聲稱，買來後頭12個月裡，失竊的筆記本電腦多達10%。 雖然USB金鑰使用方便，但它們很容易丟失。 資訊安全諮詢公司Trustwave的產品管理主管Joe Krause建議：「不要忽視用戶端的安全。 」六、確保資料交易符合相應的法規和認證OpSource公司的Ryan建議，涉及信用卡的交易應當符合支付卡行業(PCI)資料安全標準。 他解釋：「如果我們的系統不符合PCI標準，系統會出問題，互聯網資料也就沒有安全交易可言。 」Ryan表示，在企業環境下，企業應當遵守SaaS70這項安全協定。 與此同時，如果醫療資料在雲計算環境裡面傳輸，醫療保健公司要遵守《健康保險可攜性及責任性法案》(HIPAA)的有關法規。 七、瞭解安全性漏洞管理Trustwave公司的Krause表示，供應商需要能夠管理某部分資料影響眾多客戶的安全性漏洞。 Krause說：「一個漏洞就有可能導致眾多客戶的關鍵資產暴露無遺。 雲計算供應商必須能證明，自己認識到雲計算環境的安全性漏洞;自己並沒有等別人來指出哪裡有安全性漏洞。 」八、維護取證日誌和網路日誌Krause表示，供應商需要隨時知道自己客戶的資料放在哪裡。 他說：「要有辦法來追蹤審計追蹤記錄，要任何時候都知道資料放在哪裡。 」他說，取證日誌和網路日誌可以完成這項任務。 Balding建議：「開啟日誌功能，那樣就能瞭解人們在如何使用你放在雲計算環境中的服務。 那樣，你可能會發現一些攻擊。 如果不開啟日誌功能，就發現不了任何惡意內容或駭客企圖。 」另外要與IT部門聯繫，查看一下公司其他部門是不是已經購買使用雲計算服務，因為要是它們已經購買使用這項服務，可能會出現安全隱患。 Balding表示，要與財務部門商議，看看公司裡面還有誰購買了這項服務。 他表示，如果同一資訊在雲計算環境中出現兩次，這會危及公司。