■

云中的安全危害

攻擊者的目標(biāo)不云本身，云僅僅它們是攻擊企業(yè)的訪問點(diǎn)。如果企業(yè)盲目地相信云供應(yīng)商而不是相信自己的分析和判斷，遲早會給企業(yè)帶來災(zāi)難。但現(xiàn)實(shí)是：大部分企業(yè)的IT專家很相信云供應(yīng)商提供安全環(huán)境的能力，僅有少量的IT用戶會重視審查云供應(yīng)商的安全策略、安全過程和能力。這實(shí)在不是什么好做法。

云安全風(fēng)險是什么呢？云安全聯(lián)盟（CSA）在其云計算的安全報告中定義了云計算的風(fēng)險。雖然其中包含了很多重要的風(fēng)險，如數(shù)據(jù)丟失、賬戶或服務(wù)通信被劫持、拒絕服務(wù)，等等，但首要風(fēng)險卻是數(shù)據(jù)泄露。

為什么云會吸引攻擊者？因?yàn)楣粽呖梢暂p易地滲透進(jìn)入多個目標(biāo)。在云安全聯(lián)盟的一份研究論文中，研究者設(shè)計了一種虛擬機(jī)，如果它與另一個獨(dú)立的虛擬機(jī)都位于同一個硬件系統(tǒng)上，就可以提取存儲在獨(dú)立虛擬機(jī)上的私鑰。如果多用戶的云服務(wù)數(shù)據(jù)庫的設(shè)計有缺陷，一個客戶應(yīng)用中的漏洞不但可以使攻擊者獲得此客戶的數(shù)據(jù)，還可以使其獲取其它客戶的數(shù)據(jù)。

保護(hù)云中數(shù)據(jù)安全的方法

企業(yè)要保護(hù)云中的數(shù)據(jù)，需要分三步走：

檢驗(yàn)云供應(yīng)商的安全協(xié)議

企業(yè)只應(yīng)當(dāng)使用積極重視其云安全的供應(yīng)商。合格的云供應(yīng)商應(yīng)當(dāng)不斷地檢查其平臺中的缺陷和漏洞。

企業(yè)最好得到云供應(yīng)商的架構(gòu)和系統(tǒng)已經(jīng)得到安全審計的證據(jù)材料，企業(yè)要明確云供應(yīng)商的系統(tǒng)滿足合規(guī)要求，即使企業(yè)未必需要滿足這些規(guī)范要求也要這樣做。企業(yè)要根據(jù)自己的行業(yè)和法律要求，審查一下云供應(yīng)商是否滿足PCI DSS、ISO 27001等規(guī)范要求。

不盲目相信供應(yīng)商，確保嚴(yán)格加密

企業(yè)必須記住，不管云供應(yīng)商的安全協(xié)議是什么，擁有數(shù)據(jù)的企業(yè)必須為其云安全負(fù)責(zé)。企業(yè)必須確保加密自己的數(shù)據(jù)，并且使用行業(yè)最嚴(yán)格的標(biāo)準(zhǔn)來加密。企業(yè)必須使用分割加密密鑰來確保只有企業(yè)可以訪問自己的數(shù)據(jù)。通過使用分割加密密鑰，即使攻擊者攻擊進(jìn)入了系統(tǒng)，也無法讀取數(shù)據(jù)。

企業(yè)還可以通過加密自己的加密密鑰來提升安全水平。由此，即使企業(yè)在云中使用密鑰，攻擊者也無法獲取和攻擊。

經(jīng)常測試

企業(yè)應(yīng)經(jīng)常運(yùn)行漏洞掃描，進(jìn)行全面的滲透測試。企業(yè)也可以聘請公司來執(zhí)行測試。無論是公司的內(nèi)部測試還是請外部人員的測試，都要求測試者“像黑客一樣思考”，以攻擊者的思維和手段來實(shí)施測試。通過測試而查缺補(bǔ)漏，采取相關(guān)修復(fù)措施后，企業(yè)可以保證攻擊者無法訪問企業(yè)的數(shù)據(jù)記錄，或者即使攻擊者訪問了企業(yè)的數(shù)據(jù)，由于有了健全的加密，攻擊者也無法真正竊取數(shù)據(jù)。“云”中有風(fēng)險，“入云”須謹(jǐn)慎。不盲目相信云供應(yīng)商的說辭，而是以懷疑的態(tài)度對供應(yīng)商的安全性進(jìn)行檢查，對云中的數(shù)據(jù)進(jìn)行加密，并經(jīng)常進(jìn)行測試，將使企業(yè)的云端之路更平穩(wěn)和安全。