揭秘雲安全之七宗罪

IDG集團Computerworld網站撰文稱，安全專家表示，選擇雲計算的企業可能熟悉多重租賃（multi-tenancy，多個公司將其資料和業務流程託管存放在SaaS服務商的同一伺服器組上）和虛擬化等概念， 但這並不表示他們完全瞭解雲計算的安全情況。 雲安全聯盟（CSA）執行董事Jim Reavis認為，雲計算其實就是將各種技術集中在一起創造出一種具有獨特管理制度的應用程式。 這是電腦時代的新篇章，雖然這一切聽起來很熟悉，但只要深入瞭解就會發現不同之處。 企業運用雲計算的速度通常都讓安全專家感到驚訝，安全專家Reavis認為，企業應該採取更加務實的做法，例如採用風險評估來瞭解真正的風險以及如何降低風險，然後再決定是否應該部署雲計算技術。 雲安全聯盟與惠普公司共同列出了雲計算的七宗罪，主要是基於對29家企業、技術供應商和諮詢公司的調查結果而得出的結論。 1. 資料丟失/洩漏：雲計算中對資料的安全控制力度並不是十分理想，API存取權限控制以及金鑰生成、存儲和管理方面的不足都可能造成資料洩漏，並且還可能缺乏必要的資料銷毀政策。 2. 共用技術漏洞：在雲計算中，簡單的錯誤配置都可能造成嚴重影響，因為雲計算環境中的很多虛擬伺服器共用著相同的配置，因此必須為網路和伺服器配置執行服務水準協定（SLA）以確保及時安裝修複程式以及實施最佳做法。 3. 內奸：雲計算服務供應商對工作人員的背景調查力度可能與企業資料存取權限的控制力度有所不同，很多供應商在這方面做得還不錯，但並不夠，企業需要對供應商進行評估並提出如何篩選員工的方案。 4. 帳戶、服務和通信劫持：很多資料、應用程式和資源都集中在雲計算中，而雲計算的身份驗證機制如果很薄弱的話，入侵者就可以輕鬆獲取使用者帳號並登陸客戶的虛擬機器，因此建議主動監控這種威脅，並採用雙因素身份驗證機制。 5.不安全的應用程式介面：在開發應用程式方面，企業必須將雲計算看作是新的平臺，而不是外包。 在應用程式的生命週期中，必須部署嚴格的審核過程，開發者可以運用某些準則來處理身份驗證、存取權限控制和加密。 6. 沒有正確運用雲計算：在運用技術方面，駭客可能比技術人員進步更快，駭客通常能夠迅速部署新的攻擊技術在雲計算中自由穿行。 7.未知的風險：透明度問題一直困擾著雲服務供應商，帳戶使用者僅使用前端介面，他們不知道他們的供應商使用的是哪種平臺或者修復水準。 雲服務供應商惠普公司的首席技術官Archie Reed認為，上述的雲計算七宗罪雖然並不全面，但是都是非常重要的，它們能夠指引大家如何正確運用雲計算。 七宗罪說明了雲安全狀況變化非常快，安全技術人員必須瞭解影響他們工作的種種因素，包括政府法律和行業標準等，並且他們應該清楚這些因素是否被正確運用到風險評估方法中，評估方法是否定期修改。 毫無疑問的是，雲計算確實給我們帶來新的契機，但是這種新技術也意味著供應商的解決方案和技術也不斷在發展。 雖然企業可以信任雲計算，但是並不能將所有責任都交付給雲計算，企業必須對雲計算中的資料或者程式進行必要的管理。 【編輯推薦】 雲安全雖很美卻僅曇花綻放「一現」？ 精准高效低成本——雲安全技術專題【責任編輯：許鳳麗 TEL：（010）68476606】 原文：揭秘雲安全之七宗罪 返回網路安全首頁