安全專家表示,選擇云計算的企業可能熟悉多重租賃(multi-tenancy,多個公司將其數據和業務流程托管存放在SaaS服務商的同一服務器組上)和虛擬化等概念,但這并不表示他們完全了解云計算的安全情況,云計算其實就是將各種技術集中在一起創造出一種具有獨特管理制度的應用程序。
企業運用云計算的速度通常都讓安全專家感到驚訝,安全專家Reavis認為,企業應該采取更加務實的做法,例如采用風險評估來了解真正的風險以及如何降低風險,然后再決定是否應該部署云計算技術。
云安全聯盟與惠普公司共同列出了云計算的七宗罪,主要是基于對29家企業、技術供應商和咨詢公司的調查結果而得出的結論。
1. 數據丟失/泄漏:
云計算中對數據的安全控制力度并不是十分理想,API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏,并且還可能缺乏必要的數據銷毀政策。
2. 共享技術漏洞:
在云計算中,簡單的錯誤配置都可能造成嚴重影響,因為云計算環境中的很多虛擬服務器共享著相同的配置,因此必須為網絡和服務器配置執行服務水平協議(SLA)以確保及時安裝修復程序以及實施最佳做法。
3. 內奸:
云計算服務供應商對工作人員的背景調查力度可能與企業數據訪問權限的控制力度有所不同,很多供應商在這方面做得還不錯,但并不夠,企業需要對供應商進行評估并提出如何篩選員工的方案。
4. 帳戶、服務和通信劫持:
很多數據、應用程序和資源都集中在云計算中,而云計算的身份驗證機制如果很薄弱的話,入侵者就可以輕松獲取用戶帳號并登陸客戶的虛擬機,因此建議主動監控這種威脅,并采用雙因素身份驗證機制。
5.不安全的應用程序接口:
在開發應用程序方面,企業必須將云計算看作是新的平臺,而不是外包。在應用程序的生命周期中,必須部署嚴格的審核過程,開發者可以運用某些準則來處理身份驗證、訪問權限控制和加密。
6. 沒有正確運用云計算:
在運用技術方面,黑客可能比技術人員進步更快,黑客通常能夠迅速部署新的攻擊技術在云計算中自由穿行。
7.未知的風險:
透明度問題一直困擾著云服務供應商,帳戶用戶僅使用前端界面,他們不知道他們的供應商使用的是哪種平臺或者修復水平。
云服務供應商億恩科技認為,上述的云計算七宗罪雖然并不全面,但是都是非常重要的,它們能夠指引大家如何正確運用云計算。
七宗罪說明了云安全狀況變化非常快,安全技術人員必須了解影響他們工作的種種因素,包括政府法律和行業標準等,并且他們應該清楚這些因素是否被正確運用到風險評估方法中,評估方法是否定期修改。毫無疑問的是,云計算確實給我們帶來新的契機,但是這種新技術也意味著供應商的解決方案和技術也不斷在發展。
河南億恩科技股份有限公司(www.vbseamall.com)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
