安全公司Sophos的2013年威胁报告警告称,企业在部署云服务时,将面临新的数据安全风险。企业应该在合同谈判阶段就解决这些风险,也就是在数据转移到服务供应商的大规模数据中心之前。该安全公司高级安全顾问Chester Wisniewski表示,在某些情况下,云服务增加了企业的攻击面,并且,削弱了已有的安全控制和政策。
Wisniewski表示:“企业应该多花时间与律师沟通,以确保企业的所有需求都得到满足,同时,确保合同中明确列出企业的所有要求,这样,当发生事故时,双方都知道自己的责任所在。”他表示,企业在部署云服务时需要考虑三个问题。
1.如何防止信息泄露?
Dropbox等服务使员工能够轻松地存储和共享包含企业数据的文档。最初企业试图“镇压”第三方服务(例如Dropbox),但现在企业开始接受这些服务,同时添加了控制(例如加密)以确保敏感数据不会落入坏人手中。Wisniewski表示,企业应该正确部署数据保护安全技术,并使用户的操作简单,他表示,“你需要确保数据在上传到云端前是安全的。”
Wisniewski认为,基于云计算的服务能够增强企业原本“支离破碎的”数据安全办法。企业可以通过多种方法部署安全控制,确保员工能安全地使用移动设备访问数据或者远程进入云中系统。一款苹果iPad应用可以提供加密和解密功能以多一层保护,通过这种应用,他表示:“财务、销售和营销人员不必具备高超的加密技术就可以保护数据。”
2.在合同要求中,是否规定云供应商需要接受适当的审查,是否明确了安全标准?
有针对性的攻击者已经了解到,业务合作伙伴(通常是服务于大型企业的小企业)是进入大型企业网络的“突破口”。 Wisniewski表示,航空航天和国防行业的零部件制造商、运输商和供应商都可能被攻击者利用。“网络罪犯已经意识到,大型企业的业务合作伙伴通常都是小公司,他们的安全防线松懈,但仍然是大型企业受信任的实体,这已经成为一个真正的问题。”
合同中应该明确企业可以检查第三方的系统是否已经经过审查,以及是否具有适当的安全控制。云供应商应该提供证据证明他们符合安全标准,并提供一种机制允许企业进行独立测试。Wisniewski表示:“有些企业在信用卡泄露事故的数月内才进行PCI评估,最后的结果显示合规性没有得到应有的重视。”
数据保留、故障转移、事件响应程序、系统监控和维护都应该在合同协议中进行明确地规定,以确保当企业与云服务供应商的关系有变化时,企业有办法取出数据,并转移到另一个供应商处。
“如果你有些偏执,无法与供应商达成一致的协议以按照你的标准保护数据,那么,你将需要运行自己的数据中心,”Wisniewski表示,“使用云计算服务的部分代价在于它是广泛分布式的,你不知道你的数据将在什么位置。有些数据可能受到合同的控制,但其他部分根本不在你的控制范围内,在很多情况下,可能有人弹出服务器的硬盘而取走你的数据。”
3.你能够防止对虚拟服务器的快照(捕捉当前运行内存镜像——包括所有运行中的加密密钥)吗?
很多企业不是使用公共云,而是使用虚拟机来在其数据中心内建立私有云。Wisniewski说道,这种方法被认为是降低成本和提高效率的好办法,但同时它也带来数据安全性问题。
专家称,虽然安全研究人员已经证实技术性很强的管理程序攻击是可行的,但网络罪犯使用这种复杂的攻击的可能性很小。企业面对的问题是,虚拟服务器内的潜在的缺陷。配置错误和糟糕的政策都可能被攻击者利用来获取对敏感数据的访问权限。例如,当虚拟快照捕捉系统状态(备份系统的常见方法)时,通常密码和加密密钥都在内存中,因为需要利用它们来解密文件。快照非常节省时间,也是一个很好的备份机制,但企业需要安全地存储快照。他表示:“你需要将加密密钥保存在内存中,但你应该在内存中对加密密钥进行模糊化。”