CTI論壇(ctiforum.com)(編譯/老秦):在關于接受和遷移到云計算中去的安全性問題已被充分地研究、記錄和報道。在2014年的“云計算的未來”調(diào)查中,49%的受訪者認為安全性是云應用的發(fā)展抑制因素。而且,緊隨安全性之后的云應用發(fā)展抑制因素是隱私和法規(guī)遵從,超過30%的受訪者是這樣認為的。
然而,云計算是一個不可或缺的戰(zhàn)略創(chuàng)新的新業(yè)務,它極具競爭力優(yōu)勢。與抑制因素相反的云應用的驅(qū)動力包括靈活性、成本效益、可擴展性和資本支出轉變?yōu)檫\營支出的模式。高盛報告稱,這些將工作負載遷移到云中的27%用戶是出于這樣的動機才這樣做的,因為這將幫助他們降低資本支出。
因此,IT領袖們留下了一個難題:要么從相關安全性、隱私和法規(guī)遵從方面考慮而回避云計算,要么接受云計算是下一個前沿領域,并在未來采用云應用的時候采取適當?shù)念A防措施。
以下是云安全方面的注意事項,供考慮。
為了加強云計算的安全性,隱私保護和法規(guī)遵從,最佳實踐包括對基礎設施采取保護措施(防火墻等)、員工培訓和加密數(shù)據(jù)。云加密保護敏感數(shù)據(jù)是以防系統(tǒng)漏洞。用適當?shù)募用,即使云被破壞時,數(shù)據(jù)也是不可讀和無法使用的。
除非,當然,黑客可以利用他們所掌握的鑰匙從而得到加密密鑰,這樣就可以很容易地訪問那些即使加了密的數(shù)據(jù)。
為了保持領先黑客一步,是要像一個黑客那樣思考。黑客是如何拿到你的加密密鑰的呢?
黑客的安全漏洞表:
1、與數(shù)據(jù)一起存儲的密鑰:當密鑰在云中與要保護的加密數(shù)據(jù)一起存儲的話,訪問他們是很容易的。這種與訪問數(shù)據(jù)具有相同安全級別的漏洞可以被用來獲取密鑰。一旦黑客有兩個加密的數(shù)據(jù)和加密密鑰時,他可以很容易地解密數(shù)據(jù),并按他的意愿使用或出售它。
2、由云運營商管理的密鑰:在這種加密密鑰是由云服務提供商管理的情況下,風險是不同的。
目前云服務提供商被法律要求交出加密密鑰已經(jīng)是非常公開的和嚴肅的。顯然,如果他們有的話,也只能這樣做。
在合規(guī)的最佳實踐方面,由云服務提供商管理的密鑰意味著 - 在一天結束的時候 - 云提供商擁有你的數(shù)據(jù),而不是你!
還有各種“內(nèi)部攻擊”的擔憂 - 想一想斯諾登變成一個云供應商的員工。
最近一個風險要強調(diào)一下,亞馬遜(值得稱贊)推出了一個安全補丁,安裝在他們大部分的XEN基礎設備上以防止一個風險 - 這個風險是云服務提供商的“零日”漏洞,它會影響所有的云客戶。這樣的質(zhì)量漏洞對黑客是非常有吸引力的,如果他們發(fā)現(xiàn)了它。
3、硬件安全模塊:雖然一些公司選擇基于硬件的解決方案,如硬件安全模塊來管理自己的加密密鑰,這些解決方案都不是理想的云計算方案。作為一家重視經(jīng)濟性和云計算的可擴展性的公司,使用硬件來解決安全問題是與出發(fā)點相悖的。何況在云計算場景中的硬件安全模塊還有自身的一些安全問題。一旦加密密鑰離開安全硬件(加密在云中的對象)時,它的安全性不再由硬件安全模塊決定。在云中的安全密鑰緩存變得必不可少,以避免可能來自黑客的攻擊。
4、虛擬密鑰管理者:硬件安全模塊的虛擬版本實際上可能是一個攻擊點,因為他們把你的加密密鑰放在云中你的數(shù)據(jù)旁邊。此外,這些虛擬的密鑰管理解決方案是兼容的和僅被他們提供的硬件產(chǎn)品所認證 - 虛擬部分是不兼容的和不太安全的。
在云中實現(xiàn)合規(guī)性、保密性和安全性
黑客有滲透安全邊界的方法。它們可以很容易地訪問存儲在云中的加密密鑰,并使用它們對敏感數(shù)據(jù)進行解密。這暴露了貴公司的違規(guī)行為,不良公關和金融以及官僚責任。黑客還可以侵入云供應商(或他們的目標公司)的員工,這些員工可以訪問存儲在其中的加密密鑰。今年早些時候,可口可樂被爆出數(shù)據(jù)泄露,其中一名前員工竊取了存儲了本地員工信息的幾個公司的筆記本電腦,竊取了諸如社會保障和駕駛證號碼等信息。
一些公司通過拆分其加密密鑰為兩部分來實現(xiàn)最高級別的安全防范措施:任何時候每一部分都分別被存儲。由于需要這兩部分來解密數(shù)據(jù),所以破解這些公司幾乎是一個不可能完成的任務。此外,他們往往也能通過同態(tài)密鑰管理保護他們的鑰匙,在它使用的同時對其進行加密。由于這個原因,它們的密鑰是不可接近的,是無法訪問的 - 黑客不能得到他們,不論是在使用的時候還是在存儲的時候。當整個使用這些預防措施的時候,就是按照目標遷移到云中的最好的時機。
要在云中真正達到要求的合規(guī)性、私密性和安全性,底線是所有的數(shù)據(jù)必須正確加密,加密密鑰永遠不能信任任何人。通過擁有鑰匙,你才擁有自己的數(shù)據(jù)。在云中,保持加密密鑰的所有權獲益的最佳做法是通過軟件定義的創(chuàng)新,如分割密鑰加密和同態(tài)密鑰管理。
聲明:版權所有 非合作媒體謝絕轉載