CTI論壇(ctiforum.com)(編譯/老秦):在關(guān)于接受和遷移到云計(jì)算中去的安全性問(wèn)題已被充分地研究、記錄和報(bào)道。在2014年的“云計(jì)算的未來(lái)”調(diào)查中,49%的受訪者認(rèn)為安全性是云應(yīng)用的發(fā)展抑制因素。而且,緊隨安全性之后的云應(yīng)用發(fā)展抑制因素是隱私和法規(guī)遵從,超過(guò)30%的受訪者是這樣認(rèn)為的。
然而,云計(jì)算是一個(gè)不可或缺的戰(zhàn)略創(chuàng)新的新業(yè)務(wù),它極具競(jìng)爭(zhēng)力優(yōu)勢(shì)。與抑制因素相反的云應(yīng)用的驅(qū)動(dòng)力包括靈活性、成本效益、可擴(kuò)展性和資本支出轉(zhuǎn)變?yōu)檫\(yùn)營(yíng)支出的模式。高盛報(bào)告稱,這些將工作負(fù)載遷移到云中的27%用戶是出于這樣的動(dòng)機(jī)才這樣做的,因?yàn)檫@將幫助他們降低資本支出。
因此,IT領(lǐng)袖們留下了一個(gè)難題:要么從相關(guān)安全性、隱私和法規(guī)遵從方面考慮而回避云計(jì)算,要么接受云計(jì)算是下一個(gè)前沿領(lǐng)域,并在未來(lái)采用云應(yīng)用的時(shí)候采取適當(dāng)?shù)念A(yù)防措施。
以下是云安全方面的注意事項(xiàng),供考慮。
為了加強(qiáng)云計(jì)算的安全性,隱私保護(hù)和法規(guī)遵從,最佳實(shí)踐包括對(duì)基礎(chǔ)設(shè)施采取保護(hù)措施(防火墻等)、員工培訓(xùn)和加密數(shù)據(jù)。云加密保護(hù)敏感數(shù)據(jù)是以防系統(tǒng)漏洞。用適當(dāng)?shù)募用,即使云被破壞時(shí),數(shù)據(jù)也是不可讀和無(wú)法使用的。
除非,當(dāng)然,黑客可以利用他們所掌握的鑰匙從而得到加密密鑰,這樣就可以很容易地訪問(wèn)那些即使加了密的數(shù)據(jù)。
為了保持領(lǐng)先黑客一步,是要像一個(gè)黑客那樣思考。黑客是如何拿到你的加密密鑰的呢?
黑客的安全漏洞表:
1、與數(shù)據(jù)一起存儲(chǔ)的密鑰:當(dāng)密鑰在云中與要保護(hù)的加密數(shù)據(jù)一起存儲(chǔ)的話,訪問(wèn)他們是很容易的。這種與訪問(wèn)數(shù)據(jù)具有相同安全級(jí)別的漏洞可以被用來(lái)獲取密鑰。一旦黑客有兩個(gè)加密的數(shù)據(jù)和加密密鑰時(shí),他可以很容易地解密數(shù)據(jù),并按他的意愿使用或出售它。
2、由云運(yùn)營(yíng)商管理的密鑰:在這種加密密鑰是由云服務(wù)提供商管理的情況下,風(fēng)險(xiǎn)是不同的。
目前云服務(wù)提供商被法律要求交出加密密鑰已經(jīng)是非常公開(kāi)的和嚴(yán)肅的。顯然,如果他們有的話,也只能這樣做。
在合規(guī)的最佳實(shí)踐方面,由云服務(wù)提供商管理的密鑰意味著 - 在一天結(jié)束的時(shí)候 - 云提供商擁有你的數(shù)據(jù),而不是你!
還有各種“內(nèi)部攻擊”的擔(dān)憂 - 想一想斯諾登變成一個(gè)云供應(yīng)商的員工。
最近一個(gè)風(fēng)險(xiǎn)要強(qiáng)調(diào)一下,亞馬遜(值得稱贊)推出了一個(gè)安全補(bǔ)丁,安裝在他們大部分的XEN基礎(chǔ)設(shè)備上以防止一個(gè)風(fēng)險(xiǎn) - 這個(gè)風(fēng)險(xiǎn)是云服務(wù)提供商的“零日”漏洞,它會(huì)影響所有的云客戶。這樣的質(zhì)量漏洞對(duì)黑客是非常有吸引力的,如果他們發(fā)現(xiàn)了它。
3、硬件安全模塊:雖然一些公司選擇基于硬件的解決方案,如硬件安全模塊來(lái)管理自己的加密密鑰,這些解決方案都不是理想的云計(jì)算方案。作為一家重視經(jīng)濟(jì)性和云計(jì)算的可擴(kuò)展性的公司,使用硬件來(lái)解決安全問(wèn)題是與出發(fā)點(diǎn)相悖的。何況在云計(jì)算場(chǎng)景中的硬件安全模塊還有自身的一些安全問(wèn)題。一旦加密密鑰離開(kāi)安全硬件(加密在云中的對(duì)象)時(shí),它的安全性不再由硬件安全模塊決定。在云中的安全密鑰緩存變得必不可少,以避免可能來(lái)自黑客的攻擊。
4、虛擬密鑰管理者:硬件安全模塊的虛擬版本實(shí)際上可能是一個(gè)攻擊點(diǎn),因?yàn)樗麄儼涯愕募用苊荑放在云中你的數(shù)據(jù)旁邊。此外,這些虛擬的密鑰管理解決方案是兼容的和僅被他們提供的硬件產(chǎn)品所認(rèn)證 - 虛擬部分是不兼容的和不太安全的。
在云中實(shí)現(xiàn)合規(guī)性、保密性和安全性
黑客有滲透安全邊界的方法。它們可以很容易地訪問(wèn)存儲(chǔ)在云中的加密密鑰,并使用它們對(duì)敏感數(shù)據(jù)進(jìn)行解密。這暴露了貴公司的違規(guī)行為,不良公關(guān)和金融以及官僚責(zé)任。黑客還可以侵入云供應(yīng)商(或他們的目標(biāo)公司)的員工,這些員工可以訪問(wèn)存儲(chǔ)在其中的加密密鑰。今年早些時(shí)候,可口可樂(lè)被爆出數(shù)據(jù)泄露,其中一名前員工竊取了存儲(chǔ)了本地員工信息的幾個(gè)公司的筆記本電腦,竊取了諸如社會(huì)保障和駕駛證號(hào)碼等信息。
一些公司通過(guò)拆分其加密密鑰為兩部分來(lái)實(shí)現(xiàn)最高級(jí)別的安全防范措施:任何時(shí)候每一部分都分別被存儲(chǔ)。由于需要這兩部分來(lái)解密數(shù)據(jù),所以破解這些公司幾乎是一個(gè)不可能完成的任務(wù)。此外,他們往往也能通過(guò)同態(tài)密鑰管理保護(hù)他們的鑰匙,在它使用的同時(shí)對(duì)其進(jìn)行加密。由于這個(gè)原因,它們的密鑰是不可接近的,是無(wú)法訪問(wèn)的 - 黑客不能得到他們,不論是在使用的時(shí)候還是在存儲(chǔ)的時(shí)候。當(dāng)整個(gè)使用這些預(yù)防措施的時(shí)候,就是按照目標(biāo)遷移到云中的最好的時(shí)機(jī)。
要在云中真正達(dá)到要求的合規(guī)性、私密性和安全性,底線是所有的數(shù)據(jù)必須正確加密,加密密鑰永遠(yuǎn)不能信任任何人。通過(guò)擁有鑰匙,你才擁有自己的數(shù)據(jù)。在云中,保持加密密鑰的所有權(quán)獲益的最佳做法是通過(guò)軟件定義的創(chuàng)新,如分割密鑰加密和同態(tài)密鑰管理。
聲明:版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載