盡管普通消費(fèi)者在使用這類(lèi)服務(wù)時(shí)，不需要有太多的顧慮，但是，在選擇云存儲(chǔ)服務(wù)時(shí)，從加密到數(shù)據(jù)生命周期管理，組織需要解決很多安全方面的問(wèn)題。企業(yè)的新興領(lǐng)域關(guān)注于定義和控制訪問(wèn)方法以及定義實(shí)現(xiàn)基于云存儲(chǔ)的控制。

在本文中，我們將解釋為什么云存儲(chǔ)訪問(wèn)控制是一個(gè)重要問(wèn)題，以及在制定和實(shí)施云存儲(chǔ)訪問(wèn)控制和架構(gòu)時(shí)，企業(yè)應(yīng)考慮哪些問(wèn)題。 我們還將討論，在云提供商情境下，如何評(píng)估訪問(wèn)控制。

云存儲(chǔ)訪問(wèn)控制措施

無(wú)論是云提供商管理員還是企業(yè)用戶，管理訪問(wèn)控制應(yīng)該是首要考慮的問(wèn)題。 例如，Jacob Williams在2013年的Black Hat Europe會(huì)議上介紹關(guān)于Dropbox惡意軟件交付、指揮和控制問(wèn)題，以及說(shuō)明了自由訪問(wèn)云存儲(chǔ)庫(kù)是危險(xiǎn)的，可能會(huì)導(dǎo)致數(shù)據(jù)泄露。

在2012年，Mat Honan的icloud帳戶被劫持，在這次泄漏事件中，使用了社會(huì)工程技術(shù)，并可能涉及鍵盤(pán)側(cè)錄。同時(shí)，由于該事件，許多以消費(fèi)者為中心的例子，訪問(wèn)控制問(wèn)題仍然放在第一和中心的位置。限制哪些人可以訪問(wèn)云存儲(chǔ)，如何訪問(wèn)云存儲(chǔ)，以及從哪里訪問(wèn)云存儲(chǔ)，在評(píng)估云存儲(chǔ)方案時(shí)，這些問(wèn)題都應(yīng)該作為重點(diǎn)問(wèn)題考慮。

● 以下是企業(yè)在實(shí)施云存儲(chǔ)服務(wù)時(shí)，關(guān)于訪問(wèn)控制機(jī)制，企業(yè)應(yīng)該關(guān)注的一系列問(wèn)題：

● 管理工具和其他管理應(yīng)用存儲(chǔ)的用戶密碼使用加密格式嗎? 如果使用了加密格式，是什么類(lèi)型的?加密格式經(jīng)過(guò)定期測(cè)試嗎? 此外，存儲(chǔ)管理應(yīng)用程序允許的密碼長(zhǎng)度、類(lèi)型和持續(xù)時(shí)間的設(shè)定與執(zhí)行?

● 云存儲(chǔ)基礎(chǔ)架構(gòu)支持什么類(lèi)型的安全連接?支持一般的安全通信協(xié)議嗎?如SSLv3、TLS和SSH?

● 活動(dòng)用戶的會(huì)話是否超時(shí)? 如果沒(méi)有一個(gè)合理的超時(shí)時(shí)間，在空閑客戶端的端點(diǎn)，就會(huì)存在會(huì)話劫持的風(fēng)險(xiǎn)，是相當(dāng)糟糕的。

管理工具支持多個(gè)管理員配置，來(lái)提供細(xì)粒度的安全水平? 管理應(yīng)用程序的訪問(wèn)和配置云存儲(chǔ)應(yīng)該根據(jù)時(shí)間、日期和功能來(lái)配置選項(xiàng)，從而限制管理員的訪問(wèn)。 所有管理員的操作應(yīng)該被記錄下來(lái)，用于審計(jì)和報(bào)警，并且這些記錄應(yīng)提供給企業(yè)的安全團(tuán)隊(duì)。

云存儲(chǔ)管理應(yīng)用程序是否有能力定義細(xì)粒度角色和特權(quán)?為了保持適當(dāng)?shù)穆氊?zé)分離，以及執(zhí)行最少權(quán)限原則，這種能力應(yīng)該被認(rèn)為是強(qiáng)制性的。

除了這些關(guān)鍵問(wèn)題，應(yīng)該仔細(xì)審查云存儲(chǔ)基礎(chǔ)架構(gòu)訪問(wèn)方法的整體設(shè)計(jì)和架構(gòu)。 企業(yè)可以考慮的一種方法是“CloudCapsule，”是一種全新的云存儲(chǔ)訪問(wèn)控制方法，由喬治亞理工大學(xué)信息安全中心(GTISC)在“2014年新興網(wǎng)絡(luò)威脅報(bào)告 ”中提出。CloudCapsule利用本地安全虛擬機(jī)，用戶可以利用訪問(wèn)云存儲(chǔ)，數(shù)據(jù)被發(fā)送之前會(huì)自動(dòng)加密。 這樣的話，用戶的本地系統(tǒng)與云服務(wù)數(shù)據(jù)交換之間在一定程度上分離開(kāi)，同時(shí)也使得發(fā)送到云環(huán)境中的任何數(shù)據(jù)都會(huì)自動(dòng)加密。 繼GTISC開(kāi)發(fā)的模型之后，目前很多組織要求所有的云存儲(chǔ)服務(wù)，通過(guò)虛擬桌面基礎(chǔ)架構(gòu)的虛擬機(jī)，可以訪問(wèn)，可以使用數(shù)據(jù)丟失防護(hù)(DLP)策略進(jìn)行控制與掃描 .

與云存儲(chǔ)提供商直接對(duì)接的加密網(wǎng)關(guān)，也越來(lái)越受歡迎。 例如，CipherCloud代理可以自動(dòng)加密發(fā)送到Amazon的S3、RDS和EBS存儲(chǔ)服務(wù)的數(shù)據(jù)，并且，可以自動(dòng)加密發(fā)送到存儲(chǔ)提供商的數(shù)據(jù)，如 Box. 端點(diǎn)安全工具，如whitelisting和DLP代理也可以用來(lái)限制云存儲(chǔ)客戶端的安裝，并且，新的基于網(wǎng)絡(luò)的監(jiān)控工具，比如Skyhigh網(wǎng)絡(luò)公司可以監(jiān)控、控制云存儲(chǔ)服務(wù)的訪問(wèn)。

提供商控制

我們已經(jīng)明確了組織如何審視云存儲(chǔ)訪問(wèn)控制，但是，在云提供商環(huán)境內(nèi)部的訪問(wèn)控制措施，也應(yīng)該進(jìn)行仔細(xì)評(píng)估。 當(dāng)評(píng)估云存儲(chǔ)提供商時(shí)，注意一些已經(jīng)設(shè)置得當(dāng)?shù)脑L問(wèn)控制和數(shù)據(jù)保護(hù)策略：

1、首先，管理用戶，特別是存儲(chǔ)管理員，在訪問(wèn)存儲(chǔ)組件和內(nèi)部區(qū)域時(shí)，應(yīng)按規(guī)定，利用強(qiáng)大的身份驗(yàn)證方法。

2、提供商存儲(chǔ)環(huán)境下，應(yīng)充分利用隔離和分割技術(shù)，比如安全分區(qū)，交換機(jī)和主機(jī)的結(jié)構(gòu)身份認(rèn)證，超過(guò)全球通用名或者iSCSI單獨(dú)限定名的值，以及單獨(dú)的交換機(jī)和整個(gè)結(jié)構(gòu)的安全管理。

3、云服務(wù)提供商也應(yīng)確保，每位客戶的服務(wù)系統(tǒng)，與其他網(wǎng)絡(luò)區(qū)分開(kāi)，不論是在邏輯上還是在物理上，互聯(lián)網(wǎng)接入、生產(chǎn)數(shù)據(jù)庫(kù)、開(kāi)發(fā)和中轉(zhuǎn)區(qū)、以及內(nèi)部應(yīng)用程序和組件創(chuàng)建了單獨(dú)的防火墻區(qū)域。

盡管基于云的存儲(chǔ)為企業(yè)提供了許多優(yōu)勢(shì)，但是，在將寶貴的數(shù)據(jù)傳輸?shù)皆拼鎯?chǔ)提供商之前，有很多不能忽略的安全隱患。值得慶幸的是，越來(lái)越多的安全廠商可以保證組織對(duì)云存儲(chǔ)進(jìn)行適當(dāng)?shù)脑L問(wèn)控制。 只要企業(yè)事先做好準(zhǔn)備，并且確保很好地解決了上述問(wèn)題，云存儲(chǔ)對(duì)企業(yè)來(lái)說(shuō)，是一個(gè)很大的優(yōu)勢(shì)。