信息來(lái)源:企業(yè)網(wǎng)
隨著云計(jì)算、虛擬化等技術(shù)的飛速發(fā)展�,數(shù)據(jù)中心向虛擬化、云化演進(jìn)已成大勢(shì)�,有專家預(yù)測(cè)�����,未來(lái)90%的大型企業(yè)����、政府機(jī)構(gòu)等都將使用虛擬化。在這一過(guò)程中��,數(shù)據(jù)中心所面臨的安全風(fēng)險(xiǎn)也在發(fā)生著演進(jìn)與變化�����。
虛擬化數(shù)據(jù)中心面臨比傳統(tǒng)數(shù)據(jù)中心更大的安全挑戰(zhàn)�����。服務(wù)器虛擬化在帶來(lái)種種好處的基礎(chǔ)上也引入了新的安全威脅���,如虛擬機(jī)之間的互相攻擊,隨時(shí)啟動(dòng)的防護(hù)間歇等�。企業(yè)必須考慮各種潛在的威脅,然后才能遷移到云模型上����。
面是十個(gè)企業(yè)應(yīng)該注意的云安全問(wèn)題:
誰(shuí)有訪問(wèn)權(quán)限?
訪問(wèn)控制確實(shí)是一個(gè)問(wèn)題��。云身份認(rèn)證是如何管理的?內(nèi)部人員攻擊是一種持續(xù)威脅��。任何獲得云平臺(tái)訪問(wèn)權(quán)限的人都有可能成為潛在的問(wèn)題�。舉一個(gè)例子:有一名員工可能離職或被辭退�,結(jié)果他或她是唯一有訪問(wèn)密碼的人�����?��;蛘哒f(shuō)��,或許這一名員工是唯一一位負(fù)責(zé)給云提供商支付費(fèi)用的人����。你必須知道誰(shuí)有訪問(wèn)權(quán)限�����,他或她是如何交接工作的����,以及訪問(wèn)權(quán)限是如何中止的?
你有哪些法規(guī)要求?
美國(guó)、加拿大或歐盟國(guó)家的企業(yè)都必須遵守各種法規(guī)要求��,其中包括ISO/IEC 27002��、EU-U.S. Privacy Shield Framework(歐美隱私保護(hù)框架)����、IT Infrastructure Library(IT基礎(chǔ)架構(gòu)庫(kù))和COBIT.你需要確定一個(gè)雙方均認(rèn)可的框架��,如ISO 27001�。此外,你還必須保證云提供商能夠滿足這些規(guī)定的要求�,并且愿意接受認(rèn)證、鑒定和審查��。
你是否有審計(jì)權(quán)限?
這個(gè)問(wèn)題并不是小問(wèn)題�,相反是其中一個(gè)最重要的云安全問(wèn)題�。云提供商可能同意在書面上遵守一個(gè)審計(jì)標(biāo)準(zhǔn),如SSAE 16���。但是,對(duì)于審計(jì)人員和評(píng)估人員而言����,想要評(píng)估云計(jì)算是否符合法規(guī)要求�,已經(jīng)被證明是一件越來(lái)越難完成和驗(yàn)證的工作。在IT要面對(duì)的諸多法規(guī)中���,幾乎沒(méi)有專門針對(duì)云計(jì)算的。審計(jì)人員和評(píng)估人員可能還不熟悉云計(jì)算��,也不熟悉某個(gè)特定的云服務(wù)��。
云提供商給員工提供了哪一些培訓(xùn)?
這確實(shí)是一個(gè)非常值得注意的問(wèn)題��,因?yàn)槿藗冊(cè)诎踩媲翱偸侨鮿?shì)群體���。了解云提供商給員工提供了哪些培訓(xùn)����,是一項(xiàng)要認(rèn)真審查的重要項(xiàng)目���。大多數(shù)攻擊都同時(shí)包含技術(shù)因素和社會(huì)因素。提供商應(yīng)該采用措施處理各種來(lái)源的社會(huì)工程攻擊����,包括電子郵件、惡意鏈接����、電話及其他方式��,它們都應(yīng)該在出現(xiàn)在培訓(xùn)和認(rèn)知項(xiàng)目中��。
提供商使用了哪一種數(shù)據(jù)分類系統(tǒng)?
這個(gè)方面要關(guān)心的問(wèn)題包括用于分類數(shù)據(jù)的標(biāo)準(zhǔn)�,以及提供商是否支持這些標(biāo)準(zhǔn)。令牌技術(shù)現(xiàn)在越來(lái)越多地替代加密手段���,它有助于保證企業(yè)符合各種法規(guī)要求��,如Health Insurance Portability and Accountability Act(醫(yī)療保障可移植性和可審計(jì)性法案)�����、Payment Card Industry Data Security Standard(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))、Gramm-Leach-Bliley Act(金融服務(wù)法案)和歐洲數(shù)據(jù)保持法規(guī)等�����。
是否使用了加密手段?
加密手段也應(yīng)該在考慮范圍內(nèi)����。原始數(shù)據(jù)是否允許離開(kāi)企業(yè),或者它們應(yīng)該留在內(nèi)部,才能符合法規(guī)要求?數(shù)據(jù)在靜止和/或移動(dòng)過(guò)程中�,是否會(huì)使用加密措施?此外,你還應(yīng)該了解其中所使用的加密類型���。例如���,DES和AES就有一些重要差別����。另外���,要保證自己知道是誰(shuí)在維護(hù)密鑰,然后再簽合約�����。加密手段一定要出現(xiàn)在云安全問(wèn)題清單中����。
你的數(shù)據(jù)與其他人的數(shù)據(jù)是如何分隔的?
數(shù)據(jù)位于一臺(tái)共享服務(wù)器還是一個(gè)專用系統(tǒng)中?如果使用一個(gè)專用服務(wù)器�,則意味著服務(wù)器上只有你的信息。如果在一臺(tái)共享服務(wù)器上����,則磁盤空間、處理能力��、帶寬等資源都是有限的�����,因?yàn)檫€有其他人一起共享這個(gè)設(shè)備�。你需要確定自己是需要私有云還是公有云,以及誰(shuí)在托管服務(wù)器���。如果是共享服務(wù)器,那么數(shù)據(jù)就有可能和其他數(shù)據(jù)混在一起�。
提供商的長(zhǎng)期可用性體現(xiàn)有什么保障?
云提供商開(kāi)展這個(gè)業(yè)務(wù)有多長(zhǎng)時(shí)間了?它過(guò)往的業(yè)務(wù)表現(xiàn)如何?如果它在這個(gè)業(yè)務(wù)上出現(xiàn)問(wèn)題,你的數(shù)據(jù)會(huì)面臨什么問(wèn)題?你的數(shù)據(jù)是否會(huì)以原始格式交回給你?
如果出現(xiàn)安全漏洞會(huì)有什么應(yīng)對(duì)措施?
如果發(fā)生了安全事故�,你可以從云提供商獲得哪些支持?雖然許多提供商都宣稱自己的服務(wù)是萬(wàn)無(wú)一失的����,但是基于云的服務(wù)是極其容易受到黑客攻擊的。側(cè)向通道�、會(huì)話劫持、跨站腳本和分布式拒絕服務(wù)等攻擊都是云數(shù)據(jù)經(jīng)常遇到的攻擊方式����。
災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是什么?
雖然你可能不知道服務(wù)的物理位置�����,但是它們最終都位于某一個(gè)物理位置�����。所有物理位置都會(huì)面臨火災(zāi)�����、風(fēng)暴��、自然災(zāi)害和斷電等威脅���。如果出現(xiàn)這些意外事件,云提供商將有什么的響應(yīng)措施����,他們將如何保證自己承諾的不間斷服務(wù)?
根據(jù)預(yù)測(cè),未來(lái)三年有80%以上的數(shù)據(jù)中心流量將來(lái)自云服務(wù)��。這意味著����,即使你現(xiàn)在還沒(méi)有做好云遷移��,那么到2020年前你也會(huì)這樣做的。所以�����,要用這一段時(shí)間保證自己采用正確的遷移方法��。要提前定義合同要求�����,然后不能只是復(fù)制原來(lái)用于本地環(huán)境的安全策略�����。相反�����,要從遷移的角度去改進(jìn)它����。
