选择云计算
企业可能熟悉多重租赁(multi-tenancy多个公司将其数据和业务流程托管存放在SaaS服务商同
服务器组上)和虚拟化等概念但这并不表示他们完全了解云计算安全情况
云安全联盟(CSA)执行董事Jim Reavis认为 云计算其实就是将各种技术集中在起创造出种具有独特管理制度应用
这是计算机时代
新篇章虽然这切听起来很熟悉但只要深入了解就会发现区别的处企业运用云计算
速度通常都让安全专家感到惊讶安全专家Reavis认为企业应该采取更加务实做法例如采用风险评估来了解真正风险以及如何降低风险然后再决定是否应该部署云计算技术云安全联盟和惠普公司共同列出了云计算
7宗罪主要是基于对29家企业、技术供应商和咨询公司调查结果而得出结论1. 数据丢失/泄漏: 云计算中对数据
安全控制力度并不是十分理想API访问权限控制以及密钥生成、存储和管理方面不足都可能造成数据泄漏并且还可能缺乏必要数据销毁政策2. 共享技术漏洞:在云计算中
简单
配置都可能造成严重影响
云计算环境中很多虚拟服务器共享着相同配置因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复以及实施最佳做法3. 内奸:云计算服务供应商对工作人员
背景调查力度可能和企业数据访问权限控制力度有所区别很多供应商在这方面做得还不错但并不够企业需要对供应商进行评估并提出如何筛选员工方案4. 帐户、服务和通信劫持:很多数据、应用
和资源都集中在云计算中而云计算身份验证机制如果很薄弱话入侵者就可以轻松获取用户帐号并登陆客户虚拟机因此建议主动监控这种威胁并采用双原因身份验证机制5.不安全
应用接口:在开发应用方面企业必须将云计算看作是新平台而不是外包在应用生命周期中必须部署严格审核过程开发者可以运用某些准则来处理身份验证、访问权限控制和加密6. 没有正确运用云计算:在运用技术方面
黑客可能比技术人员进步更快黑客通常能够迅速部署新攻击技术在云计算中自由穿行7.未知
风险:透明度问题直困扰着云服务供应商帐户用户仅使用前端界面他们不知道他们供应商使用是哪种平台或者修复水平云服务供应商惠普公司
首席技术官Archie Reed认为上述云计算 7宗罪虽然并不全面但是都是非常重要它们能够指引大家如何正确运用云计算7宗罪介绍说明了云安全状况变化非常快
安全技术人员必须了解影响他们工作种种原因包括政府法律和行业标准等并且他们应该清楚这些原因是否被正确运用到风险评估思路方法中评估思路方法是否定期修改毫无疑问
是云计算确实给我们带来新契机但是这种新技术也意味着供应商解决方案和技术也不断在发展虽然企业可以信任云计算
但是并不能将所有责任都交付给云计算企业必须对云计算中数据或者进行必要管理
最新评论