2013年部署云服务的数据安全问题(转载)
2013-01-04 14:13
316 查看
根据最新的威胁报告称,对于大多数企业而言,在2013年部署云服务将会引发新的问题,这些问题主要围绕数据连续性、数据安全性和可靠性。
安全公司Sophos的2013年威胁报告警告称,企业在部署云服务时,将面临新的数据安全风险。企业应该在合同谈判阶段就解决这些风险,也就是在数据转移到服务供应商的大规模数据中心之前。该安全公司高级安全顾问Chester Wisniewski表示,在某些情况下,云服务增加了企业的攻击面,并且,削弱了已有的安全控制和政策。
Wisniewski表示:“企业应该多花时间与律师沟通,以确保企业的所有需求都得到满足,同时,确保合同中明确列出企业的所有要求,这样,当发生事故时,双方都知道自己的责任所在。”他表示,企业在部署云服务时需要考虑三个问题。
1.如何防止信息泄露?
Dropbox等服务使员工能够轻松地存储和共享包含企业数据的文档。最初企业试图“镇压”第三方服务(例如Dropbox),但现在企业开始接受这些服务,同时添加了控制(例如加密)以确保敏感数据不会落入坏人手中。Wisniewski表示,企业应该正确部署数据保护安全技术,并使用户的操作简单,他表示,“你需要确保数据在上传到云端前是安全的。”
Wisniewski认为,基于云计算的服务能够增强企业原本“支离破碎的”数据安全办法。企业可以通过多种方法部署安全控制,确保员工能安全地使用移动设备访问数据或者远程进入云中系统。一款苹果iPad应用可以提供加密和解密功能以多一层保护,通过这种应用,他表示:“财务、销售和营销人员不必具备高超的加密技术就可以保护数据。”
2.在合同要求中,是否规定云供应商需要接受适当的审查,是否明确了安全标准?
有针对性的攻击者已经了解到,业务合作伙伴(通常是服务于大型企业的小企业)是进入大型企业网络的“突破口”。 Wisniewski表示,航空航天和国防行业的零部件制造商、运输商和供应商都可能被攻击者利用。“网络罪犯已经意识到,大型企业的业务合作伙伴通常都是小公司,他们的安全防线松懈,但仍然是大型企业受信任的实体,这已经成为一个真正的问题。”
合同中应该明确企业可以检查第三方的系统是否已经经过审查,以及是否具有适当的安全控制。云供应商应该提供证据证明他们符合安全标准,并提供一种机制允许企业进行独立测试。Wisniewski表示:“有些企业在信用卡泄露事故的数月内才进行PCI评估,最后的结果显示合规性没有得到应有的重视。”
数据保留、故障转移、事件响应程序、系统监控和维护都应该在合同协议中进行明确地规定,以确保当企业与云服务供应商的关系有变化时,企业有办法取出数据,并转移到另一个供应商处。
“如果你有些偏执,无法与供应商达成一致的协议以按照你的标准保护数据,那么,你将需要运行自己的数据中心,”Wisniewski表示,“使用云计算服务的部分代价在于它是广泛分布式的,你不知道你的数据将在什么位置。有些数据可能受到合同的控制,但其他部分根本不在你的控制范围内,在很多情况下,可能有人弹出服务器的硬盘而取走你的数据。”
3.你能够防止对虚拟服务器的快照(捕捉当前运行内存镜像——包括所有运行中的加密密钥)吗?
很多企业不是使用公共云,而是使用虚拟机来在其数据中心内建立私有云。Wisniewski说道,这种方法被认为是降低成本和提高效率的好办法,但同时它也带来数据安全性问题。
专家称,虽然安全研究人员已经证实技术性很强的管理程序攻击是可行的,但网络罪犯使用这种复杂的攻击的可能性很小。企业面对的问题是,虚拟服务器内的潜在的缺陷。配置错误和糟糕的政策都可能被攻击者利用来获取对敏感数据的访问权限。例如,当虚拟快照捕捉系统状态(备份系统的常见方法)时,通常密码和加密密钥都在内存中,因为需要利用它们来解密文件。快照非常节省时间,也是一个很好的备份机制,但企业需要安全地存储快照。他表示:“你需要将加密密钥保存在内存中,但你应该在内存中对加密密钥进行模糊化。”
安全公司Sophos的2013年威胁报告警告称,企业在部署云服务时,将面临新的数据安全风险。企业应该在合同谈判阶段就解决这些风险,也就是在数据转移到服务供应商的大规模数据中心之前。该安全公司高级安全顾问Chester Wisniewski表示,在某些情况下,云服务增加了企业的攻击面,并且,削弱了已有的安全控制和政策。
Wisniewski表示:“企业应该多花时间与律师沟通,以确保企业的所有需求都得到满足,同时,确保合同中明确列出企业的所有要求,这样,当发生事故时,双方都知道自己的责任所在。”他表示,企业在部署云服务时需要考虑三个问题。
1.如何防止信息泄露?
Dropbox等服务使员工能够轻松地存储和共享包含企业数据的文档。最初企业试图“镇压”第三方服务(例如Dropbox),但现在企业开始接受这些服务,同时添加了控制(例如加密)以确保敏感数据不会落入坏人手中。Wisniewski表示,企业应该正确部署数据保护安全技术,并使用户的操作简单,他表示,“你需要确保数据在上传到云端前是安全的。”
Wisniewski认为,基于云计算的服务能够增强企业原本“支离破碎的”数据安全办法。企业可以通过多种方法部署安全控制,确保员工能安全地使用移动设备访问数据或者远程进入云中系统。一款苹果iPad应用可以提供加密和解密功能以多一层保护,通过这种应用,他表示:“财务、销售和营销人员不必具备高超的加密技术就可以保护数据。”
2.在合同要求中,是否规定云供应商需要接受适当的审查,是否明确了安全标准?
有针对性的攻击者已经了解到,业务合作伙伴(通常是服务于大型企业的小企业)是进入大型企业网络的“突破口”。 Wisniewski表示,航空航天和国防行业的零部件制造商、运输商和供应商都可能被攻击者利用。“网络罪犯已经意识到,大型企业的业务合作伙伴通常都是小公司,他们的安全防线松懈,但仍然是大型企业受信任的实体,这已经成为一个真正的问题。”
合同中应该明确企业可以检查第三方的系统是否已经经过审查,以及是否具有适当的安全控制。云供应商应该提供证据证明他们符合安全标准,并提供一种机制允许企业进行独立测试。Wisniewski表示:“有些企业在信用卡泄露事故的数月内才进行PCI评估,最后的结果显示合规性没有得到应有的重视。”
数据保留、故障转移、事件响应程序、系统监控和维护都应该在合同协议中进行明确地规定,以确保当企业与云服务供应商的关系有变化时,企业有办法取出数据,并转移到另一个供应商处。
“如果你有些偏执,无法与供应商达成一致的协议以按照你的标准保护数据,那么,你将需要运行自己的数据中心,”Wisniewski表示,“使用云计算服务的部分代价在于它是广泛分布式的,你不知道你的数据将在什么位置。有些数据可能受到合同的控制,但其他部分根本不在你的控制范围内,在很多情况下,可能有人弹出服务器的硬盘而取走你的数据。”
3.你能够防止对虚拟服务器的快照(捕捉当前运行内存镜像——包括所有运行中的加密密钥)吗?
很多企业不是使用公共云,而是使用虚拟机来在其数据中心内建立私有云。Wisniewski说道,这种方法被认为是降低成本和提高效率的好办法,但同时它也带来数据安全性问题。
专家称,虽然安全研究人员已经证实技术性很强的管理程序攻击是可行的,但网络罪犯使用这种复杂的攻击的可能性很小。企业面对的问题是,虚拟服务器内的潜在的缺陷。配置错误和糟糕的政策都可能被攻击者利用来获取对敏感数据的访问权限。例如,当虚拟快照捕捉系统状态(备份系统的常见方法)时,通常密码和加密密钥都在内存中,因为需要利用它们来解密文件。快照非常节省时间,也是一个很好的备份机制,但企业需要安全地存储快照。他表示:“你需要将加密密钥保存在内存中,但你应该在内存中对加密密钥进行模糊化。”
相关文章推荐
- MySQL成勒索新目标,数据服务基线安全问题迫在眉睫
- MySQL成勒索新目标,数据服务基线安全问题迫在眉睫
- MySQL成勒索新目标,数据服务基线安全问题迫在眉睫
- MySQL成勒索新目标,数据服务基线安全问题迫在眉睫
- 互联网上网服务营业场所信息安全管理系统管理端开发过程中的问题
- [转载]微服务部署:蓝绿部署、滚动部署、灰度发布等部署方案对比与总结
- Windows服务部署问题,The source was not found错误的解决方法
- Atitit 高性能架构之道 attilax著 艾龙 著 1. 应用服务与数据隔离 2 2. 负载均衡你问题 2 2.1. 用户的请求由谁来转发到到具体的应用服务器 2 2.2. 有什么转发的算法
- 京东12G用户数据外泄,京东官方承认:源于2013年安全漏洞
- [转载]使用日期/时间型数据类型的一些基本问题(ACCESS中测试)
- 离线部署 CDH 5.12.1 及使用 CDH 部署 Hadoop 大数据平台集群服务
- TCP传输小数据包效率问题(转载)
- 一组关于手持移动设备使用安全问题的统计数据
- Linux下部署ASP.NET服务连接oracle遇到的问题记录
- 使用Apache Axis部署 Web服务时的常见问题及其解决方法
- 线程间的通信 共享数据安全问题
- Oracle不同数据库同步Merge方法,可以部分替代高级复制。对小数据量同步问题不大。转载http://blog.chinaunix.net/u1/55091/showart_430716.html
- 一个提供数据存储和查询服务的分布式中间件需要考虑的一般问题
- 调用远程的企业服务的安全问题
- nodejs在同一台服务器上部署并同时运行两个或以上服务端时,一个服务用户登录后会挤掉另一个用户的问题