瞭解認知雲計算威脅 完善資料安全體系

雲計算(Cloud Computing)是一種基於互聯網的運算方式，透過這種方式，共用的軟硬體資源和資訊可以按需提供給電腦和其他設備。 消費者通過瀏覽器、桌面應用程式或是移動應用程式來存取雲端的服務。 推廣者認為雲計算使得企業能夠更迅速的部署應用程式，並降低管理的複雜度及維護成本，同時允許IT資源可以迅速重新分配來應對企業需求的快速改變。 但需要注意的是，即使雲計算有許多優點，在部署應用時仍需考慮其相關的安全問題。

雲計算的內在威脅

根據2013年的RSA國際資訊安全會議中有列舉出2013中雲計算的九大威脅，它們分別如下：

第一名：資料危害

把資料放在雲端上是有被洩漏出去的風險，而且如果公司內部的敏感資料外泄給對手，那麼對於公司的影響是相當巨大的。

可通過雲端進行資料的存儲、分發

第二名：資料遺失

存放在雲端的資料可能因為惡意攻擊而丟失，也可能會被服務提供者誤刪或是因為一些如地震、火災等因素造成物理上的損壞。

第三名：帳戶或服務流量被劫持

攻擊者可能會利用釣魚、詐騙或是軟體的漏洞得到消費者的存取的憑證，之後可能會竊聽你的交易活動及資訊、操縱你的資料，甚至將你所使用的服務變成攻擊者的新基地，在2010年的四月，Amazon有XSS的問題， 讓攻擊者從其網站中攔截憑證，而2009年多個Amazon的多個系統被攔截作為宙斯僵屍網路的節點。

第四名：不安全的介面或APIs

雲端服務必須以靠介面以及API來與消費者作互動，若雲端供應商的這些部分沒有將保護作足夠，那麼就可能增加風險。

第五名：拒絕服務(DoS)

拒絕服務攻擊使用大量的流量攻擊特定的服務，通常除了等待以外沒有辦法去存取到你要的服務。

第六名：惡意內部員工

雲端供應商的員工可能會因為某些因素去存取敏感性資料，或是攻擊自己公司的資料中心，像Google這樣的大公司也曾經發生過員工侵犯使用者隱私的問題。

第七名：濫用雲端服務

雲計算可以提供消費者強大的運算能力，但不是所有人都拿來做好事，可能會被攻擊者用來破解密碼或是發動DDoS攻擊。

第八名：不足的研究

在沒有對於雲端服務有足夠的瞭解就大量的採用雲端服務，如此一來很可能造成危害。

第九名：共用科技的弱點

雲端服務中的許多資源都是共用的，但也因此可能將整個環境暴露在威脅之中。

那麼在瞭解了雲計算的威脅後，如何能夠遠離資料安全的隱患呢？

建立完善的資料安全體系

為了讓雲計算或者說雲技術遠離資料安全隱患，就需要針對各種複雜多變的環境，建立起系統化的有效防護體系。

首先，要做好評估工作。 從傳統互聯網向雲上遷移時，在獲得共用性和降低成本等好處的同時也面臨了更複雜的生態環境。 必須對安全性漏洞進行評估，確保所有控制都到位且運行正常。 同時，在選擇雲服務供應商之前也需要做好調研工作，需要掌握該服務商傳播那些與物理安全、邏輯安全、加密、更改管理和業務持續性以及災害復原等屬於同類型控制項的能力。

其次，進行有計劃的風險控制。 制定一個正式的風險降低計畫，包括風險的檔、對這些風險的回應、教育和培訓等。 還應該看看彈性需求制訂一個彈性計畫，若想在一場災難或攻擊事件中迅速恢復的話，謹慎確保工作負載可以隨時恢復，以及把業務連續性的影響降到最低，這個計畫是很重要的。

然後，資料防護將是核心重點。 人們對於資訊安全的關注通常從設備和鏈路，以及防護、阻截等的角度考慮的較多。 其實內容或者說資料本身的安全防護才是核心。 雲計算環境下尤其如此，保護好資料本身的安全才能夠真正實現安全。

還有，關鍵的基礎管控過程。 將近六十個保護最重要資產的安全基礎控制，是包括雲環境在內的所有資訊安全的關鍵。 必須得到確認以確保雲技術對您的系統、業務和操作符合安全控制。

而採用混合模式更是有效的部署方案。 如採用與提供混合的安全服務模式，將雲的服務與預置的服務混合起來，多種模式同時進行，一方面有助於減輕壓力，另一方面以組合增加了防護的變數，使防護更為行之有效。

同時，要儘早進行異常檢測。 如果攻擊者獲取了帳戶資訊，即使是機密也于事無補。 所以，雲供應商必須部署良好的異常檢測系統，並與客戶共用這些系統的資訊和審計記錄。 使用不同的工具來確保雲供應商滿足客戶的需求，這是一種階層式辦法。

再有可以進行全程防護的生命週期，如在全面、全方位、全生命週期的「三全防護」中，展開有效防護。 全面、全方位主要通過各類資訊安全技術來實現，而全生命週期則需要意識、技術、制度綜合到位、持續進行，有賴於勤于雲技術管理和週期性安全性審查。

當然進行更為普遍的加密操作。 這裡說的加密，不僅僅是終端到終端加密，而且還包括在將資料轉移到雲中前，能夠在企業內部加密資料。 雲供應商需要制定強大的加密解決方案，以讓企業確保其資料的安全性。 同時利用好專業的雲安全服務，像獨立的安全服務諮詢、託管等各類服務提供者已經逐漸發展起來，利用好這些專業化的機構或服務商，實行長效的防護乃至事前積極的監測保護，既減輕自身的壓力與固定開銷，也能夠更加主動。

隨後關注工作負載的狀況，通過對設備和應用等資訊工作負載的重點關注，充分考慮其獨特性，制定更有針對性的安全計畫，比傳統的操作提供更安全的保障。

還需要厘清安全責任。 很多使用者都會認為，雲服務供應商應該對資料承擔責任，而供應商卻易責怪客戶自身措施不得力。 據調查顯示，超過三分之一的客戶仍然期望其軟體即服務供應商保護應用程式和資料的安全。 其實手段是重要的，如何有效地運用手段同樣重要。 只有供求雙方各自承擔起自己應盡的安全責任才是無懈可擊的根本保證。

最後建立完善的日誌體系也很重要。 對管理訪問日誌保持審計是非常重要的，即有一定量的日誌資訊可以主動提供給所有需要追蹤的企業來進行各種分析。 但大多數小型雲服務沒有提供這種資訊。

綜上所述，雲安全並不是一個短期的問題，雲計算想要長久持續的進行發展，資料安全問題時不容小覷的，本文的這些方法，究其根本，資料本源的安全防護是最重要的。 所以在採用雲技術的同時，應採用具有針對性且能靈活應對的加密技術進行核心資料防護應是一個有效的選擇。 這就要求我們在享有雲提供的資訊完整、開放、良好使用者體驗等優勢的同時，更要保證資料的安全。 若沒有安全的保障，雲應用的價值將大打折扣，更有可能帶來損失和災難。