看看应该留意的五大云安全问题

yizhongqiao

CSO首席安全官和其他IT安全专家首要考虑的云安全问题将会有哪些？未来一中敬请留意以下五点：通过采用云端部署开发平台进行软件全生命周期管理，能够加速构建开发、测试、运行环境，让私有云建设方案都运作起来，通过规范开发流程和降低成本，提升研发效率和创新水平，已逐渐成为软件行业新主流。

智能手机数据

Q的CSO及云安全联盟CSA成员RB表示越来越多的用户将访问他们自选设备中的大量数据。

B称：与此同时这也将带来许多未解决的安全问题我们可以期待新的解决方案来应对移动设备但在此之大量的数据泄漏会暴露出相关的移动安全问题。这其中可能的脚本包括移动设备上不可靠的云备份和高度机密资料。

在移动设备上使用多种云服务时不同的安全模型和条件之间会存在一些相互依存性。云服务提供商在支持移动用户使用基于云的移动设备的同时提供了许多机密移动设备数据的访问。此外移动设备的遗失或被盗能提供对云服务和数据进行根级别的访问。移动应用程序通常会直接和自动地提供云服务和数据的访问。如果管理人员的移动设备被盗亦或是利用不可靠的移动设备管理云服务都将成为高度机密数据的主要威胁。

需求更完善的访问控制和身份认证管理

金融服务ING的IT策略和架构高级副总监AB称：云本质上是高度虚拟化和高度联合的你需要一种方法在自有云与他人云之间创建控制和管理身份。现在已经有三方厂商交付了可以解决这些问题的产品和服务但这些可能不适合那些传统环境与云环境结合的大企业。

持续关注法规遵从

AE首席安全官A表示：我认为法规遵从特别是PCI有可能仍是一项安全问题。企业还需要经常应对各种完全不同的流程来管理云中的数据和应用程序。我们将看到更多关于云数据的安全保障案例。

多租户的风险

SSES安全评估和风险总监、IANS教学成员DS表示鉴于大多数云服务都大量运用虚拟化技术将多个组织的数据封装在一个物理管理程序平台中就会存在相关的风险除非制定具体的细分规则。

虽然已经假定虚拟机和虚拟络组件会被默认分离但管理程序平台的缺陷和潜在弱点已经证明云会产生细分问题。

S表示关于缺陷最有利的证明是去大家关注的KK豁免案。K攻击了VM虚拟机并运用被称为CB的概念验证工具在基础虚拟层系统中执行了一段程序。S还表示在2008CS发现了一个目录缺陷它可允许攻击者从虚拟机上访问管理程序的文件。

云标准和相关认证的出现

B表示由于选择云服务时可进行安全评估标准和认证将对帮助用户估计其数据所需安全级别起到极其重要的作用。云用户也可继续利用其现有的流程去评估云提供商的安全态势但有望出现更多开发指南和标准的民间组织。