對安全的擔心是許多企業不願意“邁向雲端”的重要原因。由於雲計算會引起操作模式的許多變化,所以企業在是否採用雲的問題上保持謹慎是很正常的。
在數據從內部服務器遷移到雲中之後,其遭受危害的問題似乎更嚴重了,而且數據訪問也移動化了。當然,公司和IT部門正努力減少雲中數據的安全威脅。
知道數據在什麼地方
如果不知道數據在哪裏,怎麼保障其安全?當然,防火牆和入侵檢測和防禦可以防止多數入侵者,數據加密也可以使數據更安全,但在你終止了服務時或有突發情況發生,你能否知道數據存在於什麼地方?而隨着攻擊的升級,原有防火牆能夠識別的應用也愈發受限,能夠指向一臺機器並說出你的數據就在這臺計算機上,這對於保證雲中數據安全性很有益處。
經常備份數據
關於雲計算,最容易被人忽視的一個方面是同時也是加強數據控制最簡單的一個方法是:不管發生什麼,你都擁有數據的安全備份。擁有數據的完整備份不僅有助於保障數據安全,更主要的是使人安心。
要保證服務器或數據中心重視安全問題
通過知道數據位於哪臺服務器或哪個數據中心,企業就可以探測和調查其已經部署的所有可行的安全方法。企業可以看看其安全機制是否符合權威的安全認證。如果服務器或數據中心能夠提供可管理的服務,這也可以給企業增加很多好處和專門技術,從而使應用程序、數據、業務等更富有靈活性。例如,可管理的防火牆和可管理的入侵檢測等往往是由信譽良好的數據中心或雲供應商等提供的,這種可管理的服務能夠爲可管理的服務器增加安全措施。
反覆測試
不要假設哪些是安全的。雲中數據是否安全的唯一方法是測試。對於擁有高度敏感數據的公司來說,僱傭一位熟練的道德黑客測試自己的安全狀況是很重要的。漏洞掃描和評估無論在雲中還是雲外都至關重要。須知,如果你可以找到一種非授權訪問數據的方法,別人也能。
對靜態的、使用中和傳輸的數據進行加密
加密被認爲是任何重視安全意識企業的最佳方法,其性價比對於採用雲計算的企業來說很有吸引力。企業運用了正確的加密技巧,可以使數據更安全且事半功倍。
當數據在雲中、虛擬盤上、雲中的數據庫中或在對象存儲中時,就容易被暴露。在數據傳輸過程中,如在從用戶的瀏覽器傳輸到雲中的服務器時,或在雲服務器之間傳輸時,就有可能發生竊聽。真正可惡的黑客甚至有可能訪問雲服務器的root賬戶,並在使用數據和進行計算時查看服務器的內存。企業應當清楚這些可能性,並選擇可以解決這些風險的解決方案。
定義安全責任
許多法規或規範(如PCI DSS)要求在多個點上加密數據。這意味着加密不是其它人(客戶、供應商、設備廠商等)問題,而是企業的問題。在數據安全問題上,不必過分依賴外部力量,必須學會“自己動手,豐衣足食”。
據調查,有許多公司甚至不知道自己的雲服務器已經被黑客攻擊了。在雲加密問題上,企業必須負起責任,關鍵是定義哪些團隊應爲數據的安全負責;在由於失誤造成企業的安全損失後,應該承擔什麼責任等。
檢查雲加密的各種選擇,選擇最強健方案
正確地實施加密並不是一個輕鬆的事情。最佳的選擇是使用專家建議的方案。企業應檢查一下可用於雲服務的加密方案。私有或公有云的選擇對於雲加密方案的選擇起着重要作用。企業應確保使用最強健的加密標準,並經常檢查。
爲最糟糕的情況做好加密準備
爲了防止外部黑客訪問企業數據,你可能已經強化了服務器。但對內部僱員怎麼辦?
企業應做好應對最壞情況的準備。對於已經實施了強加密的數據來說,企業應僅允許有工作需要的人員訪問,而且要培訓這些僱員如何訪問加密數據,可以從什麼地方訪問,並要求他們遵循安全規程。
不要忘了加密備份和快照。加密對於維護多個數據副本和備份來說,尤其重要。
保護密鑰
企業應使用最強健的加密密鑰技術,如同態密鑰管理來強化密鑰的安全。同態密鑰提供兩個密鑰,其中,加密主鑰交給應用程序或數據自身,在使用應用程序和數據的過程中仍能保持加密。即使加密主鑰失竊,非法用戶仍無法訪問數據。
數據加密是保護雲數據安全的重要手段卻並非唯一手段,企業仍需強化其它方面。例如BYOD的使用可能給網絡和企業的數據帶來新的安全問題。實際上,將數據存在雲中而不是存在僱員的設備中可以防止非法訪問。將雲存儲、數據加密和網站安全手段結合起來,可以爲企業防禦網絡威脅構建強健的安全陣線。
使用SDP解決雲安全訪問問題
軟件定義邊界(Software Defined Perimeter,SDP)由雲安全聯盟(CSA)於2013年提出的。SDP使得應用所有者部署的邊界可以保持傳統模型中對於外部用戶的不可見性和不可訪問性,該邊界可以部署在任意的位置,如網絡上、雲中、託管中心中、私有企業網絡上,或者同時部署在這些位置中。確保只有授權的用戶和設備能夠訪問特定的內部應用程序,來保障各種場景的連接的安全問題。
在這個新方案中,SDP平等對待位於外部公共網絡和本地網絡的設備,在默認情況下都不會授予任何特權。這種基於所有網絡流量都不可信設定下,用戶必須:
1)使用由公司提供且持續管理的設備
2)通過身份認證,且符合訪問控制引擎中的策略要求,
3)認證後才能通過專門的訪問代理
4)訪問特定的公司內部資源。
目前國內已經出現了一些不錯的SDP產品。紅芯作爲較早提出SDP安全解決方案的服務商,特點是擁有自主可控的核心技術——紅芯核心瀏覽器內核,紅芯隱盾安全接入系統基於統一的企業應用入口即紅芯瀏覽器,可以給用戶提供訪問安全、數據安全、身份安全、行爲安全進行多維度安全防護措施,保證企業不同身份、不同權限的用戶,進行不同場景的訪問連接時的高度安全。