惠普和雲安全聯盟近日列舉出雲安全七宗罪,如果你要將自己的應用遷入雲中,那麼最好提前認識清楚這些「罪狀」。 看看你或你的雲服務商是否犯下了這些罪狀?
資料丟失/洩露
到目前為止還沒有一種被廣泛認可的安全級別,能夠控制雲中的資料安全。 有些應用之所以會洩露資料是因為脆弱的API接入控制,以及金鑰的生成、存儲和管理不善。 而且好的資料銷毀策略也不存在。
共用技術漏洞
在雲中,一個不正確的配置參數可能會跨整個網路環境到處複製,也就是說,會有眾多的虛擬機器共用同一配置參數。 可考慮的解決的辦法是,為補丁管理強制執行服務等級協定(SLA),為網路和伺服器配置實施最佳實踐。
心懷惡意的內部人
雲服務商對其人員執行的背景審查級別可能會因企業對於控制資料中心訪問的需求不同而不同。 很多雲服務商所提供的服務很好,但是和委託企業之間卻存在著嚴重的資訊不對稱。 應考慮執行服務商評價,規劃好服務商員工的審查級別。
帳戶、服務及流量劫持
企業有大量的資料、應用和資源集中在雲中,而如果雲服務商的認證存在漏洞,那麼入侵者便可輕鬆進入客戶的帳戶,進而控制客戶的虛擬機器。 建議對危險進行事前監控和雙因素安全認證。
不安全的應用程式設計介面(API)
把雲視為一個新的平臺,而不僅僅是一個將應用開發外包出去的所在,這是很重要的。 應在應用的整個生命週期內執行資料核查程式,開發人員應瞭解並執行某些與安全認證、接入控制和加密相關的規則指南。
雲計算的濫用和惡意使用
壞人會比好人更具侵略性地使用雲計算技術。 我們看到,有很多駭客在將新的威脅手段和雲計算的迅速結合方面頗為擅長,可以輕鬆地擴張或收縮威脅的規模。 而一切僅需一張信用卡便可打開大規模威脅的閘門。
未知的風險
透明度的問題將會繼續困擾著雲服務商。 有帳號的使用者只是和前端的介面互動,事實上並不知道後端有什麼。 誰知道服務商使用的是什麼平臺,什麼級別的補丁?
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
