盘点未来云环境中将面临的安全问题

yizhongqiao

中国IDC圈109报道：预计从2011到2016软件即服务SS的复合增长率是195；而平台即服务PS的复合增长率是277；基础设施即服务IS则为413；安全服务支出为22给用户带来一站式的云端软件交付新体验，并将软件定制化服务深入到企业应用场景中，通过首席云主机的服务进一步体现出来，帮助企业在提升软件开发效率的同时专注于业务创新。

然而安全和隐私问题仍然是妨碍许多企业采用云服务最大的绊脚石这甚至在过去的18个导致了了云加密系统的蓬勃兴起。

虽然加密对于采用云服务的安全方面是相当重要的但它不应该被看作是护身符G在最的研究报告中强调。

分析人士建议企业应首先建立一套涉及到六大安全问题的数据安全计划。他们表示如果不这样做可能会增加企业采用云计算的成本和复杂性同时也不利于长期保护数据隐私解决好安全性和弹性方面的基本问题。他们警告称着急上马实施的加密系统甚至还可能干扰一些基于云的服务的正常运作。

亟待解决的六大安全问题分别是：

。违反通知和数据驻留

。休眠时期的数据管理

。运行过程中的数据保护

。加密密钥管理

。访问权限控制

。长期弹性的加密系统

一、违反通知和数据驻留

并非所有的数据都需要同等的保护级别因此企业应该对云存储的数据进行分类在数据违反通知或如果数据不得存放在其他司法管辖区时的识别有关的合规性要求。

G还建议企业应该设立一套企业数据安全计划从政府执法部门的角度确定业务管理访问流程。该计划应充分考虑到利益相关者如从法律、合同、经营单位、安全和IT等诸多方面进行考虑。

二、休眠时期的数据管理

企业应该询问具体的问题以确定云服务提供商存储数据的生命周期和安全政策。

企业应该搞清楚的问题包括：

。如果是使用的多租户存储模式搞清楚住户之间采用的是什么分离机理。

。诸如标签之类的机制是用来防止数据被复制到特定的国家或地区。

。用于归档和备份的存储是加密的确保密钥管理策略包括一套强有力的身份识别和访问管理政策限制在一定的司法管辖区内。

G建议企业通过使用删除密钥以切碎数字数据信息来实现寿命结束的加密战略同时确保密钥没有妥协或被复制。

三、运行过程中的数据保护

G建议作为最低要求企业至少要确保云服务提供商将支持安全宽带协议如SSLTLS浏览器访问或基于VPN连接的访问以保护他们的服务系统。

研究报告称企业总是加密在云中运行的敏感数据。但如果数据是未加密的同时正在被使用或储存减轻或使得企业免遭数据破坏将是义不容辞的责任。

G建议在IS中企业青睐云服务提供商提供络租户之间的分离使一个租户不能看到其他租户的络流量。

四、加密密钥管理

G表示企业应始终瞄准管理加密密钥。但如果这是由一个云加密供应商所提供的他们必须确保访问管理控制到位满足违反通知要求和数据驻留。

如果密钥由云服务提供商管理那么企业应该要求基于硬件的密钥管理系统是在严格定义和管理的关键管理流程范围内。

G表示当密钥是在云中管理当务之急是供应商提供严密的控制和现场负载监控以防止潜在的快照分析获得密钥的风险。

五、访问权限控制

G建议企业要求云服务提供商支持IP子访问限制政策使企业可以限制已知的IP地址范围和设备的最终用户访问。

企业应该要求加密提供者提供足够的用户访问和管理控制更强的身份验证如双因素身份验证、访问权限管理、以及分离安全管理职责例如安全性、络和维护。

企业还应该要求：

。对所有访问云资源的用户和管理员进行记录并以适当的格式提供给企业管理志或安全信息和事件管理系统。

。云服务提供商限制访问敏感系统管理工具可能带来的快照现场工作负载进行数据迁移数据备份或恢复数据。

。迁移或快照工具捕获的图像与其它敏感的企业数据享有相同的安全处理标准。

六、长期弹性的加密系统

G建议企业需要了解应用程序和数据库索引、搜索和排序的影响。他们应该特别注意先进的搜索功能如子串匹配的功能和通配符如包含或以结束。

加密供应商是否提供诸如功能保存加密的选项。例如保存排序规则要求使用规范和批准的算法或可能削弱独立认证加密。