對于云環境的安全和隱私問題的擔心會推動云加密系統的普及,但是Gartner警告稱企業在實施數據加密前還有六件事情要做。
從2011到2016年,SaaS的年增長率有望達到19.5%,PaaS有望達到27.7%,IaaS有望達到41.3%,而安全服務的年資金增長率有望達到22%。
盡管如此,安全和隱私仍然成為阻礙許多公司接受云服務的首要因素,而這也成為過去18個月里企業采用云加密系統的原因。雖然加密對于保障云服務具有重要意義,但是它并不是什么新興技術,Gartner在最近的一項研究筆記中警告稱。
分析師推薦企業最好先研制出一個數據安全計劃,解決好六個基本問題。因為如果不解決數據隱私和長期的安全問題,反而會增加云計算使用的成本和復雜性。他們警告稱,加密系統如果部署不當將可能干擾一些云服務的正常功能。
而這六個必須解決的安全問題就是:
數據泄露通知和數據保存
閑時數據管理
動態數據保護
密鑰管理
訪問控制
加密系統的長期性
No.1:數據泄露通知和數據常駐
并非所有數據都需要同等級別的保護,所以企業應該把用于云存儲的數據分類,然后識別與數據泄露通知有關的服從性需求或是看數據是否不允許被保存到其他地方。
Gartner還推薦企業部署一個企業數據安全計劃,從政府法律實施部門的角度管理訪問請求。這項計劃應該把股東納入考慮,如合法性,合同,業務部門,安全和IT。
No.2:閑時數據管理
企業應該用具體的問題確定云服務供應商的數據存儲生命周期和安全策略。
應該弄明白:
1. 是否在使用多租戶存儲,搞清楚租戶之間使用的是什么隔離機制。
2. 是否使用貼標之類的機制阻止數據被復制到特定國度或地域。
3. 用于存檔和備份的存儲是否被加密,密鑰管理策略是否包含強效身份識別和訪問管理策略以限制對特殊區域的訪問。
Gartner贊成企業使用加密技術,通過刪除密鑰來刪除數據,從而部署終止策略,同時又確保密鑰不會被損壞或復制。
No.3:動態數據保護
最為最基本的要求,Gartner推薦企業推進CSP對安全通訊協議的支持,如用于瀏覽器訪問或VPN系統訪問連接的SSL/TLS,以便為其服務提供受保護的訪問。
其研究筆記指出,企業通常會加密發送到云的敏感數據,但是如果使用或存儲的數據未被加密時,企業就義不容辭要解決泄露的問題。
在IaaS中,Gartner認為企業更喜歡可以在多個租戶間提供網絡隔離的CSP,這樣租戶就看不到其他租戶的網絡流量。
No.4:密鑰管理
企業應該以管理密鑰為目的,但是如果密鑰被云加密服務供應商管理,Gartner說,他們就必須確保自己部署了訪問管理控件,可以滿足數據泄露防護的要求。如果密鑰由CSP管理,那么企業應該要求在準確定義和托管的密鑰管理進程套件中提供基于硬件的密鑰管理系統。
Gartner認為,當密鑰被托管或是可在云中獲取時,供應商有必要對實時工作負載的截圖提供監控,以防止分析風險。
No.5:訪問控制
Gartner建議企業要求CSP支持IP子網訪問限制策略,這樣企業就可以通過已知的IP地址和設備限制終端用戶的訪問。企業應該要求加密服務供應商提供用戶訪問和管理控件,強效驗證替代方式,如雙要素驗證,訪問許可管理以及按管理職責分區,如安全,網絡和維護。
企業還應該要求:
1. 記錄所有用戶和管理員對云資源的訪問,把日志以適合日志管理或安全信息和事件管理系統的形式提交給企業。
2. CSP限制用戶訪問可能對實時工作負載截屏,執行數據遷移或數據備份與恢復的敏感系統管理工具。
3. 遷移或截屏工具捕獲的圖像同樣被視為企業敏感數據。
No.6:加密系統的長期性
Gartner建議企業了解對應用,數據庫檢索,查找和分類的影響。他們應該特別留意高級搜索功能,如子字符串匹配功能和通配符,如“contains”或“ends with”。
如果加密服務供應商提供“功能保留型加密”——例如,保留分類——由于這樣可能減弱加密功能的效用,所以規則會要求使用標準化的運算法則或獨立證書。
京公網安備 11010502049343號