《企業網D1Net》9月10日訊

Dropbox所提供的云服務對企業來說是一個安全的選擇嗎？想要在云上安全的存儲數據，企業要考慮哪些方面呢？

Dropbox是現在人們廣泛使用的一個云存儲平臺，但是現在該服務的安全問題正在受到安全研究人員審查，因為客戶數據的隱私權正在受到質疑。在八月份舉辦的USENIX安全會議上，兩名研究人員發布了一份白皮書，對攻擊Dropbox和獲取其用戶數據的辦法進行了描述。雖然實際研究的價值值得討論，但它引導出了一個新的問題：用戶該如何來保護存儲在云端的數據的安全性和完整性。Dropbox已經逐漸意識到了這一研究，但是該研究對于Dropbox來說并不是一個需要及時處理的安全風險。

Dropbox的發言人表示，Dropbox對進行Dropbox安全性研究額人員和其他人幫助Dropbox解決問題的人表示感謝。但Dropbox目前并不認為USENIX會議上所發布的研究報告展示出了Dropbox客戶端的脆弱性。Dropbox的發言人表示：“在白皮書中所列舉的案列中，用戶的電腦首先需要全部暴露在攻擊中，而不僅僅是用戶的Dropbox。”盡管Dropbox沒有對云存儲的安全性提高警惕，但是其他公司有。CipherCloud的高級總監Willy Leichter表示云存儲安全模型的問題不僅僅包括Dropbox的認證方法。

Leichter表示：“云文件共享繞過了企業的安全系統，但是企業還是需要對信息進行審查，來預防敏感數據泄露給未經授權的局外人”

Wave Systems的首席執行官Steven Sprague表示，在他看來，最基本的問題在于Dropbox可以讀取所有用戶所有的文件，如果密鑰由Dropbox掌管，那么對數據進行加密是沒有任何價值的。NetIQ的解決策略總監Geoff Webb也表示贊同，他認為密鑰的所有權是一個關鍵問題。

Webb表示，用戶所犯的重大錯誤之一是：以為像Dropbox這樣的公司對數據進行了加密，就可以實現某種程度上的完全安全。雖然你上傳到Dropbox的數據是加密了的，但是你無法確定誰能夠獲取密鑰，如果密鑰遭到破壞，那么加密的數據就不會再受到保護了。Dropbox和那些試圖提供一個安全在線云服務所面臨的挑戰是：易用性和安全性一般都是對立的。開源云存儲廠商ownCloud的產品副總裁Matt Richards表示，安全性是相對的，最安全的系統是任何人都無法訪問的。他看到的是Dropbox經驗的另一面，那就是易用性。

“我們所面臨的問題還有很多，這個模型對你來說足夠安全了嗎？，換句話說，你能夠放心的將敏感企業數據委托給為用戶精心設計的這些服務嗎？” Richard說，“去阿姆斯特丹旅游的照片在重要性上完全不同于收益報表、銷售預測、產品路線圖或者是財政表格。”因此，企業用戶應該怎么樣做才能正確的保護云上的數據呢？”

CipherCloud's Leichter 表示：“企業需要具有數據上傳到云之前，保護敏感和監管信息的能力。”在他看來，安全模型不能僅僅只專注于SSL（安全套接字層）隧道的保護，或者是依賴于應用程序廠商承諾保護數據以及在數據上傳到云之前對敏感數據進行保護。Wave Systems的Sprague推薦使用獨立加密，并獨立提供加密密鑰。

“這樣，上傳到Dropbox的數據才不會被提供商讀取。”Sprague 表示。

并非巧合的是，Wave Systems允許其用戶通過一個叫做scrambls產品來對上傳到云的數據進行加密。Sprague 解釋，要對scrambls系統進行攻擊，攻擊者必須要訪問兩個系統。這樣就可以對Dropbox或者scrambls的內外攻擊起到保護作用。

將數據存儲在云最重要的問題就是密碼。“不要將你無法掌控和控制的敏感信息存儲在云。” ownCloud'的Richards建議：“在實踐中，對隱私/安全的需求需要與訪問需求相平衡”。將云存儲解決方案與現有的安全性實踐相結合也是取得成功的關鍵。

ownCloud所提供的方法利用一個開源項目，該項目可以進行遠程和本地安裝，并且還可以與現有的IT策略和程序相結合。“當你配置了ownCloud，你可以對主要存儲位置進行選擇，添加二級存儲位置，并且這些位置的安全性可與現存的企業存儲相媲美，因為你可以對它進行掌控。”Richards表示。ownCloud的存儲位置可包括：Amazon's S3 storage、 Google 和 Dropbox。企業需要對云存儲的風險和限制有一個良好的理解。