據(jù)谷歌公司負(fù)責(zé)GoogleApps的安全主管EranFeigenbaum聲稱��,與外面的服務(wù)提供商共享數(shù)據(jù)面臨危險(xiǎn)�����,不過同時(shí)也能獲得安全方面的一些好處。雖然許多公司現(xiàn)在允許云計(jì)算服務(wù)提供商訪問自己的數(shù)據(jù)����,“但僅僅共享文檔、而不是共享整個(gè)基礎(chǔ)架構(gòu)是一大好處���!
OpSource公司的首席執(zhí)行官TrebRyan補(bǔ)充說:“你沒必要弄清楚多個(gè)安全區(qū)域����,因?yàn)橹挥幸粭l正面連接������!边@家公司為軟件即服務(wù)(SaaS)和互聯(lián)網(wǎng)公司提供數(shù)據(jù)管理及數(shù)據(jù)傳輸備份服務(wù)。
下面���,專家們介紹了如何確保云計(jì)算環(huán)境的安全���。
一�����、關(guān)注打開的東西
云計(jì)算服務(wù)提供商Salesforce在其信任站點(diǎn)上警告不要打開可疑的電子郵件���。這一個(gè)道理似乎很淺顯��,但還是有許多人沒有遵照這個(gè)建議�。還要關(guān)注可疑鏈接。
Balding建議�,應(yīng)當(dāng)向提供商詢問事件響應(yīng)機(jī)制。他表示���,萬一有人企圖入侵���,提供商應(yīng)當(dāng)能夠給予幫助。你還要問一下提供商會不會為你的機(jī)器制作鏡像����,還是這項(xiàng)工作必須由你自己來完成。
CraigBalding是一家《財(cái)富》500強(qiáng)公司的技術(shù)安全負(fù)責(zé)人����,開設(shè)了介紹云計(jì)算安全的博客。他建議���,如果你打開文件����,就要確保網(wǎng)絡(luò)訪問已經(jīng)過加密����。他特別指出�����,亞馬遜并不針對其Web服務(wù)業(yè)務(wù)提供數(shù)據(jù)加密服務(wù)�����。Salesforce.com在其信任站點(diǎn)上建議采用像RSA令牌或智能卡這些雙因子驗(yàn)證技術(shù)�����。
二����、保護(hù)云API密鑰
Balding提醒����,你需要確保自己的云API(應(yīng)用編程接口)密鑰安全。他說:“要是有人弄到了你的訪問密鑰��,就能訪問你的一切數(shù)據(jù)����。要求提供商為你提供多把密鑰,用于保護(hù)不同風(fēng)險(xiǎn)類別的各組數(shù)據(jù)�。”
他還建議���,應(yīng)當(dāng)把生產(chǎn)數(shù)據(jù)放在一個(gè)帳戶中��、把開發(fā)數(shù)據(jù)放在另一個(gè)帳戶中�。他表示�����,這樣就可以減小有人闖入不太安全的開發(fā)機(jī)器所帶來的風(fēng)險(xiǎn)�。
三、使用多少付多少
Balding建議��,為了避免競爭對手積欠賬款����,需要多少云服務(wù)、就付多少費(fèi)用�。他說:“如果使用量急劇增加,設(shè)定閾值就很有必要�������!
四、復(fù)制數(shù)據(jù)
谷歌公司的Feigenbaum強(qiáng)調(diào)了跨多個(gè)數(shù)據(jù)中心進(jìn)行數(shù)據(jù)復(fù)制的重要性�。比方說,萬一東北部出現(xiàn)了災(zāi)難��,仍可以從其他地區(qū)訪問數(shù)據(jù)�����。Feigenbaum說:“要是東北部發(fā)生了災(zāi)難���,比如說暴風(fēng)雪�,從而導(dǎo)致停電����,仍可以從另一個(gè)數(shù)據(jù)中心訪問你的數(shù)據(jù),沒有人知道這幕后的一切�。”
五��、增強(qiáng)端點(diǎn)可靠性
Feigenbaum說:“云計(jì)算概念就是把盡量少的數(shù)據(jù)放在端點(diǎn)設(shè)備上����。要保護(hù)端點(diǎn)設(shè)備的安全很難――無異于把安全從專家的手里交到用戶的手里�!泵绹(lián)邦調(diào)查局(FBI)聲稱,買來后頭12個(gè)月里�����,失竊的筆記本電腦多達(dá)10%.雖然USB密鑰使用方便��,但它們很容易丟失�����。
信息安全咨詢公司Trustwave的產(chǎn)品管理主管Joe Krause建議:“不要忽視客戶端的安全�������!
六����、確保數(shù)據(jù)交易符合相應(yīng)的法規(guī)和認(rèn)證
OpSource公司的Ryan建議,涉及信用卡的交易應(yīng)當(dāng)符合支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)���。他解釋:“如果我們的系統(tǒng)不符合PCI標(biāo)準(zhǔn)�,系統(tǒng)會出問題,互聯(lián)網(wǎng)數(shù)據(jù)也就沒有安全交易可言�。”
Ryan表示�����,在企業(yè)環(huán)境下�,企業(yè)應(yīng)當(dāng)遵守SaaS70這項(xiàng)安全協(xié)議。與此同時(shí)��,如果醫(yī)療數(shù)據(jù)在云計(jì)算環(huán)境里面?zhèn)鬏���,醫(yī)療保健公司要遵守《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)的有關(guān)法規(guī)��。
七�、了解安全漏洞管理
Trustwave公司的Krause表示�����,提供商需要能夠管理某部分?jǐn)?shù)據(jù)影響眾多客戶的安全漏洞��。Krause說:“一個(gè)漏洞就有可能導(dǎo)致眾多客戶的關(guān)鍵資產(chǎn)暴露無遺���。云計(jì)算提供商必須能證明���,自己認(rèn)識到云計(jì)算環(huán)境的安全漏洞����;自己并沒有等別人來指出哪里有安全漏洞�������!
八��、維護(hù)取證日志和網(wǎng)絡(luò)日志
Krause表示�����,提供商需要隨時(shí)知道自己客戶的數(shù)據(jù)放在哪里���。他說:“要有辦法來追蹤審計(jì)跟蹤記錄,要任何時(shí)候都知道數(shù)據(jù)放在哪里�����。”他說���,取證日志和網(wǎng)絡(luò)日志可以完成這項(xiàng)任務(wù)��。Balding建議:“開啟日志功能����,那樣就能了解人們在如何使用你放在云計(jì)算環(huán)境中的服務(wù)�。那樣,你可能會發(fā)現(xiàn)一些攻擊���。如果不開啟日志功能�,就發(fā)現(xiàn)不了任何惡意內(nèi)容或黑客企圖�。”
另外要與IT部門聯(lián)系��,查看一下公司其他部門是不是已經(jīng)購買使用云計(jì)算服務(wù)��,因?yàn)橐撬鼈円呀?jīng)購買使用這項(xiàng)服務(wù)��,可能會出現(xiàn)安全隱患��。Balding表示��,要與財(cái)務(wù)部門商議,看看公司里面還有誰購買了這項(xiàng)服務(wù)���。他表示�,如果同一信息在云計(jì)算環(huán)境中出現(xiàn)兩次��,這會危及公司���。 |
