很多企业和开发者不愿将业务数据放置到公有云、云服务器,因为他们觉得无法切实地看到数据,缺乏安全感,时刻担心不法分子通过入侵等手段窃取和篡改数据。事实上,如果你采取预防措施,挑选和实施正确的云安全服务,在云服务器中存放的数据可能比传统IT系统更加安全。
传统IT基础设施基本上完全靠用户自己去控制、管理服务器的安全,而云服务器搭载的云平台本身已实施正确、完善的安全保护方案。云服务商必须这样做才能保证业务的正常开展。
服务商在补齐的一些注意事项:
1、数据泄露
云环境同传统企业网络一样面临着同样的众多安全威胁,但由于云服务存储着更大量的数据,云服务提供商越来越成为了更重要目标。所面临威胁的严重性来源于所保护的数据资产如果发生泄露产生的危害性,虽然对于涉及泄露个人财务信息的事件更吸引世人眼球,但是发生在健康信息、商业机密和知识产权领域的安全事件后果更严重。
当发生数据泄露事件后,公司可能面临罚款、法律诉讼或者背后衍生的黑产交易,商业违约调查和对客户的通知要花费巨大的成本。另外代理的间接影响包括未来数年内的品牌信誉损失和丢失商业机会。
不同的云服务环境均采用部署不同的安全控制策略来保护,但是最终客户有责任保护自己的云上数据。CSA建议客户使用多种认证手段和加密措施以防止数据泄露事件的发生。
2、存在弱点的系统漏洞
系统漏洞或程序中的安全缺陷问题由来已久,但是随着云计算引入的多租户模式后果越来越严重。不同租户间的内存共享、数据库以及其他的邻近资源产生了新的攻击面。CSA认为值得庆幸的是系统漏洞层面的攻击可以通过传统的IT运维环节来缓解,目前的最佳实践包括常规的漏洞扫描、尽快的漏洞修复和快速应对所报告反馈的漏洞和威胁。
根据CSA报告,降低系统漏洞风险的花费经常“相比于传统的IT成本少得多”。相比于所面临的破坏后果,让IT去处理风险和修复漏洞所获得的支持援助还是过少。CSA建议传统行业需要尽可能地将漏洞快速修复的工作通过固化至自动化工作流程或者通过持续闭环实现。技术团队应记录和回顾在应急处理修复漏洞时的各项变更实施过程。
3、账户劫持
网络钓鱼、欺诈和软件存在的漏洞在云环境仍然有效,使用云服务因攻击者可以窃取活动、操作业务和修改数据从而增加攻击面。攻击者也可使用云服务发起其他对外的攻击。
CAS认为现有的深度防御保护策略存在被此种方式绕过的缺口。租户应当阻止共用用户和服务之间的账户信息并启用多因素认证模式。为实现业务可被监测至个人用户粒度。个人账户、服务账户均应当被监测。当然一切的关键在于保护账户认证信息不被窃取。
4、内部恶意行为
内部威胁来源于存在多处:在职或者离职员工、系统管理员、外包人员、商业伙伴。恶意行为包括从数据窃取到报复行为。在云环境中,内部人员可以摧毁整个IT基础设施或进行数据的操作。依赖于单独的云服务提供的安全系统,例如加密服务仍然处在极大的风险中。