DoSECU 安全报道 8月12日消息:上周安全专家在黑帽安全大会上向与会者发出警告说,尽管目前有很多公司都在考虑极爱那个应用软件迁移到云上,但是第三方服务的安全性仍然还有许多有待改进之处。
2.Stamos警告说,没有哪家硬件厂商希望对他们的提供商进行审计,他们也不想对公司以外的硬件进行测试。进行风险扫描或者渗透测试需要得到云服务提供商的许可,否则客户就是在入侵提供商的系统。
尽管某些服务协议,比如说亚马逊的服务协议详细标明客户可以对提供商系统上运行的软件进行测试,得到许可是很重要的,Stamos表示。
3.云计算为企业带来巨大的效益的同时还需要强大的协议和用户培训的保障,比如说允许企业用户随时随地访问数据,从IT员工处获取帮助来解决维护问题,始终如一的服务意味着对家庭办公的员工造成伤害的钓鱼攻击也会对公司造成威胁。
因此培训用户提高风险意识,不仅是针对他们自己还有他们的公司,这一点是很关键的,Stamos强调说。
"让企业内部所有的非技术人员都了解如何防范钓鱼风险是非常困难的,但是事实上对于软件即服务来说,钓鱼攻击正在逐渐为个人所熟知,并且开始成为企业内部都了解的安全问题"Stamos称。
4.当使用来自提供商的虚拟机时不要信赖计算机实例,比如说亚马逊在线的弹性计算云基础架构上建立的第三方实例等,企业用户不应该信赖任何系统,Meer强调说。
公司的研究专家对大量事先设置的实例进行了扫描,结果发现高速缓存和信用卡数据中的验证钥潜伏着隐藏在系统内部的恶意代码。他们发现大部分用户在使用第三方研发人员创建的计算机映像时都没有考虑到安全因素。
"一些用户还在这些预先设置的映像上建立了完整的验证服务器"Meer表示。
企业用户必须根据内部用途创建他们自己的映像,或者运用技术和法律手段对他们进行保护,使他们免受恶意的第三方研发人员的伤害。
5.在考虑安全性时必须重新考虑所有的假设,企业信息技术管理者必须对云上的配置重新考量。
举例来说,当配置一款在虚拟数据中心的计算实例中运行的应用软件时,那些依靠随机数发生的特性未必会按照期望来运行。问题是虚拟系统比起物理系统的信息量要少,因此随机数是可以推测出来的。
Meer表示"你必须将这些因素考虑在内"。
