虛擬化數據中心面臨比傳統數據中心更大的安全挑戰。服務器虛擬化在帶來種種好處的基礎上也引入了新的安全威脅,如虛擬機之間的互相攻擊,隨時啟動的防護間歇等。企業必須考慮各種潛在的威脅,然后才能遷移到云模型上。
面是十個企業應該注意的云安全問題:
誰有訪問權限?
訪問控制確實是一個問題。云身份認證是如何管理的?內部人員攻擊是一種持續威脅。任何獲得云平臺訪問權限的人都有可能成為潛在的問題。舉一個例子:有一名員工可能離職或被辭退,結果他或她是唯一有訪問密碼的人。或者說,或許這一名員工是唯一一位負責給云提供商支付費用的人。你必須知道誰有訪問權限,他或她是如何交接工作的,以及訪問權限是如何中止的?
你有哪些法規要求?
美國、加拿大或歐盟國家的企業都必須遵守各種法規要求,其中包括ISO/IEC 27002、EU-U.S. Privacy Shield Framework(歐美隱私保護框架)、IT Infrastructure Library(IT基礎架構庫)和COBIT.你需要確定一個雙方均認可的框架,如ISO 27001。此外,你還必須保證云提供商能夠滿足這些規定的要求,并且愿意接受認證、鑒定和審查。
你是否有審計權限?
這個問題并不是小問題,相反是其中一個最重要的云安全問題。云提供商可能同意在書面上遵守一個審計標準,如SSAE 16。但是,對于審計人員和評估人員而言,想要評估云計算是否符合法規要求,已經被證明是一件越來越難完成和驗證的工作。在IT要面對的諸多法規中,幾乎沒有專門針對云計算的。審計人員和評估人員可能還不熟悉云計算,也不熟悉某個特定的云服務。
云提供商給員工提供了哪一些培訓?
這確實是一個非常值得注意的問題,因為人們在安全面前總是弱勢群體。了解云提供商給員工提供了哪些培訓,是一項要認真審查的重要項目。大多數攻擊都同時包含技術因素和社會因素。提供商應該采用措施處理各種來源的社會工程攻擊,包括電子郵件、惡意鏈接、電話及其他方式,它們都應該在出現在培訓和認知項目中。
提供商使用了哪一種數據分類系統?
這個方面要關心的問題包括用于分類數據的標準,以及提供商是否支持這些標準。令牌技術現在越來越多地替代加密手段,它有助于保證企業符合各種法規要求,如Health Insurance Portability and Accountability Act(醫療保障可移植性和可審計性法案)、Payment Card Industry Data Security Standard(支付卡行業數據安全標準)、Gramm-Leach-Bliley Act(金融服務法案)和歐洲數據保持法規等。
是否使用了加密手段?
加密手段也應該在考慮范圍內。原始數據是否允許離開企業,或者它們應該留在內部,才能符合法規要求?數據在靜止和/或移動過程中,是否會使用加密措施?此外,你還應該了解其中所使用的加密類型。例如,DES和AES就有一些重要差別。另外,要保證自己知道是誰在維護密鑰,然后再簽合約。加密手段一定要出現在云安全問題清單中。
你的數據與其他人的數據是如何分隔的?
數據位于一臺共享服務器還是一個專用系統中?如果使用一個專用服務器,則意味著服務器上只有你的信息。如果在一臺共享服務器上,則磁盤空間、處理能力、帶寬等資源都是有限的,因為還有其他人一起共享這個設備。你需要確定自己是需要私有云還是公有云,以及誰在托管服務器。如果是共享服務器,那么數據就有可能和其他數據混在一起。
提供商的長期可用性體現有什么保障?
云提供商開展這個業務有多長時間了?它過往的業務表現如何?如果它在這個業務上出現問題,你的數據會面臨什么問題?你的數據是否會以原始格式交回給你?
如果出現安全漏洞會有什么應對措施?
如果發生了安全事故,你可以從云提供商獲得哪些支持?雖然許多提供商都宣稱自己的服務是萬無一失的,但是基于云的服務是極其容易受到黑客攻擊的。側向通道、會話劫持、跨站腳本和分布式拒絕服務等攻擊都是云數據經常遇到的攻擊方式。
災難恢復和業務持續計劃是什么?
雖然你可能不知道服務的物理位置,但是它們最終都位于某一個物理位置。所有物理位置都會面臨火災、風暴、自然災害和斷電等威脅。如果出現這些意外事件,云提供商將有什么的響應措施,他們將如何保證自己承諾的不間斷服務?
根據預測,未來三年有80%以上的數據中心流量將來自云服務。這意味著,即使你現在還沒有做好云遷移,那么到2020年前你也會這樣做的。所以,要用這一段時間保證自己采用正確的遷移方法。要提前定義合同要求,然后不能只是復制原來用于本地環境的安全策略。相反,要從遷移的角度去改進它。
京公網安備 11010502049343號