企業(yè)應該注意的(de)十個(gè)雲安全問(wèn)題

随著(zhe)雲計(jì)算(suàn)、&λ虛拟化(huà)等技(jì)術(shù)的'γ​(de)飛(fēi)速發展，數(shù)據中心向虛拟化(huà)、雲化(huà""±)演進已成大(dà)勢，有(yǒu)專家(jiā)↕★€δ預測，未來(lái)90%的(de)大(dà)型企業(yè)、政府機(εα€∑jī)構等都(dōu)将使用(yòng)虛拟化(huà)$≥'。在這(zhè)一(yī)過程中，數(shù£₹®•)據中心所面臨的(de)安全風(fēng)險也(yě)在發生(shē↕≤​ng)著(zhe)演進與變化(huà)。

虛拟化(huà)數(shù)據中心面臨比傳統數(shù)據中心更大(dà)的(βΩ€&de)安全挑戰。服務器(qì)虛拟化(huà)在帶來(lái)種種好≥↓‍λ(hǎo)處的(de)基礎上(shàng)也(yě)‌×引入了(le)新的(de)安全威脅，如(rú)虛拟機(jī)∞₽之間(jiān)的(de)互相(xiàng)攻擊，随時(shí)啓動≈ ↕"的(de)防護間(jiān)歇等。企業(yè)♣¥↓必須考慮各種潛在的(de)威脅，然後才能(nén←λφg)遷移到(dào)雲模型上(shàng)。

面是(shì)十個(gè)企業(yè)應該注意的(de)雲安全問(w≤∏èn)題：

1. 誰有(yǒu)訪問(wèn)權限?

訪問(wèn)控制(zhì)确實是(shì)一(yī)個(∑'Ωgè)問(wèn)題。雲身(shēn)份認證是(shì)如(rú)何管理(>↕lǐ)的(de)?內(nèi)部人(rén)員(yuán)攻擊是(shì)一(₽'£÷yī)種持續威脅。任何獲得(de)雲平台訪問(φ©wèn)權限的(de)人(rén)都(d&>ōu)有(yǒu)可(kě)能(néng)成為(w≠÷φπèi)潛在的(de)問(wèn)題。舉一(yī)個(gè)例子(zǐ)：有(φ•yǒu)一(yī)名員(yuán)工(gōng)可(kβ®ě)能(néng)離(lí)職或被辭退，結果他(tā)或她(tā)是(shì)δ↕唯一(yī)有(yǒu)訪問(wèn)密碼的(de)​↔•β人(rén)。或者說(shuō)，或許這(zhè)一(yī∞π)名員(yuán)工(gōng)是(shì)唯一(yī)一(yī)∞¥×位負責給雲提供商支付費(fèi)用(yòng)的(de)人₹₹(rén)。你(nǐ)必須知(zhī)道(dào)誰有( δ♠yǒu)訪問(wèn)權限，他(tā)或她(tā)是(shì)如(rú)何交接α$工(gōng)作(zuò)的(de)，以及訪問(wèn)權限是(shì$≈)如(rú)何中止的(de)?

2. 你(nǐ)有(yǒu)哪些(xiē)法規要(y>λ←≤ào)求?

美(měi)國(guó)、加拿(ná)大(dà)或歐盟國(guó)家(jiā) ™¥¥的(de)企業(yè)都(dōu)必須遵守各種法規要(yào)求← ，其中包括ISO/IEC 27002、EU-U.S. Privacy S♣¥​hield Framework(歐美(mě$↕i)隐私保護框架)、IT Infrastructure Library(IT¶₹基礎架構庫)和(hé)COBIT.你(nǐ)需要(yào)确•¶ 定一(yī)個(gè)雙方均認可(kě)的(de)框架，如↕↕Ω(rú)ISO 27001。此外(wài)，你(nǐ)還(háiγ♥↑)必須保證雲提供商能(néng)夠滿足這(zhè)些(xiē)規→↕β定的(de)要(yào)求，并且願意接受認證、鑒定和(hé)β∞審查。

3. 你(nǐ)是(shì)否有(yǒu)φ≠☆∑審計(jì)權限?

這(zhè)個(gè)問(wèn)題并不(bù)是(shì)小(xiǎoγ↑)問(wèn)題，相(xiàng)反是(shì₩∑)其中一(yī)個(gè)最重要(yào)的(™γ€de)雲安全問(wèn)題。雲提供商可(kě)能(néng)同意在書(shū©∑α)面上(shàng)遵守一(yī)個(g€×✔è)審計(jì)标準，如(rú)SSAE 16。但↑••→(dàn)是(shì)，對(duì)于審計(jì)人(rén)δ‍員(yuán)和(hé)評估人(rén)員(yuán)而言，想要(yào)₽ ♦評估雲計(jì)算(suàn)是(shì)否符合法規要( ™≤yào)求，已經被證明(míng)是(shì)一(yī)件(jiàn)越來(l♥ ái)越難完成和(hé)驗證的(de)工(γ​εgōng)作(zuò)。在IT要(yào)面對(duì)的(de)諸多(d₽¥uō)法規中，幾乎沒有(yǒu)專門(mén)針對(du✔≥&ì)雲計(jì)算(suàn)的(de)。審計(→£₹÷jì)人(rén)員(yuán)和(hé)評估人(rén)®Ω員(yuán)可(kě)能(néng)還(hái)不(bù)熟∏®悉雲計(jì)算(suàn)，也(yě)不(b☆ π₽ù)熟悉某個(gè)特定的(de)雲服務。✘$₽

4. 雲提供商給員(yuán)工(gōng)提供了(le)哪一(yī)些(×‍xiē)培訓?

這(zhè)确實是(shì)一(yī)個(gè)非常值得(de)注意的★×(de)問(wèn)題，因為(wèi)人(rén)們在安全面前總是(shì)弱★←勢群體(tǐ)。了(le)解雲提供商給員(yuán)工(gōng)提δσ±供了(le)哪些(xiē)培訓，是(shì)一(yī)項要(yào)認真審≈‌™ 查的(de)重要(yào)項目。大(dà)多(duō)數 "®(shù)攻擊都(dōu)同時(shí)包含技(jì)術(shù)因素和(h>$♠é)社會(huì)因素。提供商應該采用(yòng)措施處理(&♦™lǐ)各種來(lái)源的(de)社會(h₹§®uì)工(gōng)程攻擊，包括電(di€≈àn)子(zǐ)郵件(jiàn)、惡意鏈接、電(d‍ &iàn)話(huà)及其他(tā)方式，它們都(dōu)應該在出∑★ Ω現(xiàn)在培訓和(hé)認知(zhī)項目中。

5. 提供商使用(yòng)了(le)哪一(yī)種數(shùλ≥)據分(fēn)類系統?

這(zhè)個(gè)方面要(yào)關心的↓ '(de)問(wèn)題包括用(yòng)于分(fēn)類數(shù)據$φ ™的(de)标準，以及提供商是(shì)否支持這 ₩(zhè)些(xiē)标準。令牌技(jì)術(ε÷↑₩shù)現(xiàn)在越來(lái)越&♠≤ε多(duō)地(dì)替代加密手段，它有(y≈£∏→ǒu)助于保證企業(yè)符合各種法規要(yào)求，如(rú)He×↔‌ alth Insurance Portability and Account✔•₹ability Act(醫(yī)療保障可(kě)移植性和(hé)可(★&÷kě)審計(jì)性法案)、Payment Car‌€✘&d Industry Data Secur↑​∑♥ity Standard(支付卡行(xíng)業(yè)數(shù)¥✔≥據安全标準)、Gramm-Leach-Bliley Act(¥♣金(jīn)融服務法案)和(hé)歐洲數(shù)據保持法規∑∞ 等。

6. 是(shì)否使用(yòng)了(le)加密手段?

加密手段也(yě)應該在考慮範圍內(nèi)。原始數≥→(shù)據是(shì)否允許離(lí)開(kāi)企業(yè)，或者₽↓'它們應該留在內(nèi)部，才能(néng)符合法αε≥<規要(yào)求?數(shù)據在靜(j☆γ ìng)止和(hé)/或移動過程中，是(shì)否會(huì)使用(yò​✔←ng)加密措施?此外(wài)，你(nǐ)還(hái)應該了(leβ₩β)解其中所使用(yòng)的(de)加密類型。例如(rú)，DES和(≠ ←±hé)AES就(jiù)有(yǒu)一(yī)些(xiē)重要(yà > ↕o)差别。另外(wài)，要(yào)保證自(zì)己知(zhī)道(dσ←ào)是(shì)誰在維護密鑰，然後再簽合約。加密手段一(yī≤₹☆)定要(yào)出現(xiàn)在雲安全問(wèn)題清單中。

7. 你(nǐ)的(de)數(shù)據與其他(tā)人(>πrén)的(de)數(shù)據是(shì)如(rú)何分(fēn)隔的(de&©§)?

數(shù)據位于一(yī)台共享服務器(qì)還≈& (hái)是(shì)一(yī)個(gè)專用(yòng)系統←$↕α中?如(rú)果使用(yòng)一(yī)個(gè)專用(yòng§α)服務器(qì)，則意味著(zhe)服務器(qì)上(shàng)隻有(yǒu♦')你(nǐ)的(de)信息。如(rú)果在一&π(yī)台共享服務器(qì)上(shàng) •，則磁盤空(kōng)間(jiān)、處理(lǐ)能(néng)力、帶'♠™寬等資源都(dōu)是(shì)有(yǒu)限的(de)，因為(wèi)還₽×ε(hái)有(yǒu)其他(tā)人(rén)一(yī)起共享這(zhè<÷★)個(gè)設備。你(nǐ)需要(yào)♠ε确定自(zì)己是(shì)需要(yào)私有(y®♣→<ǒu)雲還(hái)是(shì)公有(y≠ ǒu)雲，以及誰在托管服務器(qì)。如(rú)果是(shìε<₹)共享服務器(qì)，那(nà)麽數(shù) γ據就(jiù)有(yǒu)可(kě)能(néng)和(hé)其÷γ  他(tā)數(shù)據混在一(yī)起。

8. 提供商的(de)長(cháng)期可(kě)用(yòng)↑‌性體(tǐ)現(xiàn)有(yǒu)什(shén)麽保障?

雲提供商開(kāi)展這(zhè)個(gè)業(yè)務有(y≠‍ǒu)多(duō)長(cháng)時(shí)間(jiān)了(l÷☆®e)?它過往的(de)業(yè)務表現(xiàn)如(rú)何?如(rú•★)果它在這(zhè)個(gè)業(yè)務上(shàng¥↑)出現(xiàn)問(wèn)題，你(nǐ)的(deΩ≈£♣)數(shù)據會(huì)面臨什(shén)麽問(wèn)題?你(nǐγ₹₩♣)的(de)數(shù)據是(shì)否會(huì)以原$♦始格式交回給你(nǐ)?

9. 如(rú)果出現(xiàn)安全漏洞會≠→(huì)有(yǒu)什(shén)麽應對(duì)措施?

如(rú)果發生(shēng)了(le)安全事(shì)故₽∞€σ，你(nǐ)可(kě)以從(cóng)雲提供商獲得€≤'(de)哪些(xiē)支持?雖然許多(du≤'®πō)提供商都(dōu)宣稱自(zì)己的(de)服務是(shì)萬無一≤§(yī)失的(de)，但(dàn)是(shì)基于雲的(de)服務是(sh☆ δ ì)極其容易受到(dào)黑(hēi)客攻擊的(de)。側向'↕✘♦通(tōng)道(dào)、會(huì)話(huà)劫≥☆ 持、跨站(zhàn)腳本和(hé)分(fēn↔ )布式拒絕服務等攻擊都(dōu)是(shì)雲數(shù)據經常遇到(dàoε>)的(de)攻擊方式。

10. 災難恢複和(hé)業(yè)務持續計(jì)劃是(shì)∞∑什(shén)麽?

雖然你(nǐ)可(kě)能(néng)不(bù)知(zh×>✘ī)道(dào)服務的(de)物(wù)理(lǐ)位置，但£♠≥↕(dàn)是(shì)它們最終都(dōu)位于某一(yī)Ω✘個(gè)物(wù)理(lǐ)位置。所有(yǒu)物(€ ←wù)理(lǐ)位置都(dōu)會(huì)面臨火(huǒ)災、風(fēng)♦•≥§暴、自(zì)然災害和(hé)斷電(diàn)等威脅₹∑×。如(rú)果出現(xiàn)這(zhè)些(xiē)意外(wài)事(™¥γ®shì)件(jiàn)，雲提供商将有(yǒu)什(shén)麽的(€​∑de)響應措施，他(tā)們将如(rú)何保證自(zì£≈)己承諾的(de)不(bù)間(jiān)斷服務?

根據預測，未來(lái)三年(nián)有(yǒu)80%以上(shànα £©g)的(de)數(shù)據中心流量将來(lái)自(z×Ω¥ì)雲服務。這(zhè)意味著(zhe)，即使你(n←♥ǐ)現(xiàn)在還(hái)沒有(yǒu)做(zuΩ∏ò)好(hǎo)雲遷移，那(nà)麽到(dà§♣βo)2020年(nián)前你(nǐ)也(yě)會(huì)這(zhè)樣₽∞δ做(zuò)的(de)。所以，要(yào)用(yòng)這(zhè)一(γ¥yī)段時(shí)間(jiān)保證自(zì)己采用(yòn✔ ÷g)正确的(de)遷移方法。要(yào)提前定義合同要(yào)求，然後α‌​$不(bù)能(néng)隻是(shì)複制(zhì)←&¶原來(lái)用(yòng)于本地(dì)環境的(de)安全​÷↓↔策略。相(xiàng)反，要(yào)從(cóng)遷移的(de)角度≤γ&去(qù)改進它。