CTI論壇(ctiforum.com)(編譯/老秦):在關(guān)于接受和遷移到云計算中去的安全性問(wèn)題已被充分地研究、記錄和報道。在2014年的“云計算的未來(lái)”調查中,49%的受訪(fǎng)者認為安全性是云應用的發(fā)展抑制因素。而且,緊隨安全性之后的云應用發(fā)展抑制因素是隱私和法規遵從,超過(guò)30%的受訪(fǎng)者是這樣認為的。
然而,云計算是一個(gè)不可或缺的戰略創(chuàng )新的新業(yè)務(wù),它極具競爭力優(yōu)勢。與抑制因素相反的云應用的驅動(dòng)力包括靈活性、成本效益、可擴展性和資本支出轉變?yōu)檫\營(yíng)支出的模式。高盛報告稱(chēng),這些將工作負載遷移到云中的27%用戶(hù)是出于這樣的動(dòng)機才這樣做的,因為這將幫助他們降低資本支出。
因此,IT領(lǐng)袖們留下了一個(gè)難題:要么從相關(guān)安全性、隱私和法規遵從方面考慮而回避云計算,要么接受云計算是下一個(gè)前沿領(lǐng)域,并在未來(lái)采用云應用的時(shí)候采取適當的預防措施。
以下是云安全方面的注意事項,供考慮。
為了加強云計算的安全性,隱私保護和法規遵從,最佳實(shí)踐包括對基礎設施采取保護措施(防火墻等)、員工培訓和加密數據。云加密保護敏感數據是以防系統漏洞。用適當的加密,即使云被破壞時(shí),數據也是不可讀和無(wú)法使用的。
除非,當然,黑客可以利用他們所掌握的鑰匙從而得到加密密鑰,這樣就可以很容易地訪(fǎng)問(wèn)那些即使加了密的數據。
為了保持領(lǐng)先黑客一步,是要像一個(gè)黑客那樣思考。黑客是如何拿到你的加密密鑰的呢?
黑客的安全漏洞表:
1、與數據一起存儲的密鑰:當密鑰在云中與要保護的加密數據一起存儲的話(huà),訪(fǎng)問(wèn)他們是很容易的。這種與訪(fǎng)問(wèn)數據具有相同安全級別的漏洞可以被用來(lái)獲取密鑰。一旦黑客有兩個(gè)加密的數據和加密密鑰時(shí),他可以很容易地解密數據,并按他的意愿使用或出售它。
2、由云運營(yíng)商管理的密鑰:在這種加密密鑰是由云服務(wù)提供商管理的情況下,風(fēng)險是不同的。
目前云服務(wù)提供商被法律要求交出加密密鑰已經(jīng)是非常公開(kāi)的和嚴肅的。顯然,如果他們有的話(huà),也只能這樣做。
在合規的最佳實(shí)踐方面,由云服務(wù)提供商管理的密鑰意味著(zhù) - 在一天結束的時(shí)候 - 云提供商擁有你的數據,而不是你!
還有各種“內部攻擊”的擔憂(yōu) - 想一想斯諾登變成一個(gè)云供應商的員工。
最近一個(gè)風(fēng)險要強調一下,亞馬遜(值得稱(chēng)贊)推出了一個(gè)安全補丁,安裝在他們大部分的XEN基礎設備上以防止一個(gè)風(fēng)險 - 這個(gè)風(fēng)險是云服務(wù)提供商的“零日”漏洞,它會(huì )影響所有的云客戶(hù)。這樣的質(zhì)量漏洞對黑客是非常有吸引力的,如果他們發(fā)現了它。
3、硬件安全模塊:雖然一些公司選擇基于硬件的解決方案,如硬件安全模塊來(lái)管理自己的加密密鑰,這些解決方案都不是理想的云計算方案。作為一家重視經(jīng)濟性和云計算的可擴展性的公司,使用硬件來(lái)解決安全問(wèn)題是與出發(fā)點(diǎn)相悖的。何況在云計算場(chǎng)景中的硬件安全模塊還有自身的一些安全問(wèn)題。一旦加密密鑰離開(kāi)安全硬件(加密在云中的對象)時(shí),它的安全性不再由硬件安全模塊決定。在云中的安全密鑰緩存變得必不可少,以避免可能來(lái)自黑客的攻擊。
4、虛擬密鑰管理者:硬件安全模塊的虛擬版本實(shí)際上可能是一個(gè)攻擊點(diǎn),因為他們把你的加密密鑰放在云中你的數據旁邊。此外,這些虛擬的密鑰管理解決方案是兼容的和僅被他們提供的硬件產(chǎn)品所認證 - 虛擬部分是不兼容的和不太安全的。
在云中實(shí)現合規性、保密性和安全性
黑客有滲透安全邊界的方法。它們可以很容易地訪(fǎng)問(wèn)存儲在云中的加密密鑰,并使用它們對敏感數據進(jìn)行解密。這暴露了貴公司的違規行為,不良公關(guān)和金融以及官僚責任。黑客還可以侵入云供應商(或他們的目標公司)的員工,這些員工可以訪(fǎng)問(wèn)存儲在其中的加密密鑰。今年早些時(shí)候,可口可樂(lè )被爆出數據泄露,其中一名前員工竊取了存儲了本地員工信息的幾個(gè)公司的筆記本電腦,竊取了諸如社會(huì )保障和駕駛證號碼等信息。
一些公司通過(guò)拆分其加密密鑰為兩部分來(lái)實(shí)現最高級別的安全防范措施:任何時(shí)候每一部分都分別被存儲。由于需要這兩部分來(lái)解密數據,所以破解這些公司幾乎是一個(gè)不可能完成的任務(wù)。此外,他們往往也能通過(guò)同態(tài)密鑰管理保護他們的鑰匙,在它使用的同時(shí)對其進(jìn)行加密。由于這個(gè)原因,它們的密鑰是不可接近的,是無(wú)法訪(fǎng)問(wèn)的 - 黑客不能得到他們,不論是在使用的時(shí)候還是在存儲的時(shí)候。當整個(gè)使用這些預防措施的時(shí)候,就是按照目標遷移到云中的最好的時(shí)機。
要在云中真正達到要求的合規性、私密性和安全性,底線(xiàn)是所有的數據必須正確加密,加密密鑰永遠不能信任任何人。通過(guò)擁有鑰匙,你才擁有自己的數據。在云中,保持加密密鑰的所有權獲益的最佳做法是通過(guò)軟件定義的創(chuàng )新,如分割密鑰加密和同態(tài)密鑰管理。
聲明:版權所有 非合作媒體謝絕轉載
