DaaS提供商的噩梦:云安全

DaaS提供商通常会宣称由其托管的桌面比传统VDI更加高效和安全,但是云安全确是一个无法回避的问题。想要使用DaaS的企业必须无条件信任提供商的员工以及其内部安全防护措施。

企业在选择使用DaaS之前所面临的最大问题之一就是无法回避的云安全性。

桌面即服务(DaaS)提供商宣称相比于传统的本地VDI方式,其提供的DaaS服务可以让企业更加轻松、高效、廉价、安全地使用托管桌面,并且他们拥有充分的理由可以证明这一点。对原本分散的桌面进行大规模、集中化管理是DaaS的优势之一,通过提供批量服务,DaaS 提供商可以提高资源分配的针对性,这种方式相比于企业——特别是小型和中小型企业——自己进行部署来说,可以大幅提升安全性。

但是IT管理员和决策制定者不能完全信任DaaS提供商所承诺的安全性。即便是VDI宣称的强化安全性也只不过是一套由IT管理员来部署和操作、适用于虚拟环境的系统和流程,VDI自身并不包含任何物理环境所不具有的安全特性。类似地,相比于其他云服务,DaaS受到安全漏洞影响的几率也是相同的。

信任DaaS提供商的IT员工

管理大型桌面环境并非易事,而管理本地VDI环境却更加困难。一些企业选择使用DaaS,因为这样可以将许多系统管理任务转交给云服务提供商,其已经拥有管理虚拟桌面所需的基础架构和相关经验。但是作为代价,管理员必须放弃大量的控制权限。

当企业将桌面管理权转交给DaaS提供商之后,必须无条件相信DaaS提供商的IT员工能够为他们构建一个安全的桌面环境,然而这是一个极其复杂的过程。如果服务提供商没有投入足够的精力会怎样呢?

技术人员可能会使用设计上存在缺陷的应用程序编程接口(API)或者不安全的应用程序,还有可能无意间错误配置hypervisor和虚拟机,又或是在整个系统当中安装了无效的恶意软件防护工具。考虑到DaaS所需的基础架构复杂性——并且需要为多个用户同时提供服务——因此当有人意识到某些地方出现问题的时候,可能为时已晚。

此外,云服务必须能够支持多种终端类型,比如台式机、笔记本、智能手机和平板电脑。所有这些设备通过互联网连接到DaaS提供商,意味着服务提供商的员工必须负责端口、连接、防火墙、透明协议以及其他所有保证数据安全传输的组件。

其他云安全问题

不幸的是,DaaS基础架构可能存在的缺陷只是使用DaaS所面临的众多风险之一。企业需要信任DaaS提供商可以保证业务安全运行,但是无法要求DaaS提供商在任何时候、对于所有任务都保持高度警觉性。

比如,DaaS提供商可能在系统审计、安全补丁或者实时病毒防护方面出现问题。他们需要综合考虑所有因素,而不能仅仅根据安全一个方面做出决定,比如提前发布恶意软件威胁分析报告,以避免对系统性能产生负面影响。

选择使用DaaS的企业还必须信任服务提供商的所有员工,特别是对于VDI环境拥有直接访问权限的员工。员工的相关情况是否已经经过验证?是否通过了背景审查?哪些人拥有密钥的访问权限?

理想情况下,DaaS提供商的内部员工需要遵守非常严格的安全规定。也就是说,即便是那些进行正常操作的员工,也有可能成为网络罪犯的利用工具。

比如,摩根大通的报告宣称7600万个家庭和700万家小型企业最近受到了网络攻击的影响。黑客使用一位员工的登陆账号获取了访问Web开发服务器的权限。通过这些账户,黑客可以任意浏览银行的安全网络。

安全专家推测黑客将会利用被盗的数据对受影响的家庭和企业进行钓鱼欺骗攻击。如果DaaS提供商的基础架构也存在类似的漏洞,那么使用这项服务的企业将会面临很大的风险。

使用DaaS这种云服务需要面临的另外一种风险是如果服务提供商不再提供相关业务,企业应该如何应对。需要关心的不只是业务方面的损失,还需要确保相关基础架构和虚拟机的安全性。数据中心应该在任何时候都受到全方位保护,不管是硬件故障还是来自于互联网的攻击,因为保护过程中的任何差错都有可能导致无法挽回的结果。如果公司不再购买相关服务,那么不会有人告诉你应该如何对服务器进行保护,即便对所有静态数据进行加密,黑客还是有可能入侵正在运行的任何机器。

作者:Robert Sheldon

来源:51CTO

时间: 2024-11-05 22:00:08

DaaS提供商的噩梦:云安全的相关文章

IDC云安全评估: 阿里云为最重视安全建设的云服务提供商

近日,全球知名咨询机构IDC发布<IDC MarketScape:中国云服务提供商,2017厂商安全评估>(以下简称IDC云安全评估报告).阿里云以其在安全上的综合实力和战略前瞻性,位居领导者区间,在安全能力和安全投入上绝对领先. 再加上此前IDC<中国公有云市场追踪报告,2016年下半年>报告显示,阿里云已占中国IaaS市场41%的份额,保持130%的规模增速.两份报告结果表明,阿里云在保持强劲市场竞争力的同时,在安全稳定和用户信任感上获得多方认可,成为云竞争版图中的 "

Akamai完成对云安全提供商Prolexic的收购

北京时间3721.html">2014年2月19日, Akamai今天宣布已完成对Prolexic公司的收购.Prolexic是一家总部位于佛罗里达州好莱坞的云安全解决方案提供商,其产品用于保护数据中心和企业IP应用免受分布式拒绝服务DDoS的攻击. 2013年12月2日,Akamai宣布双方达成了一项最终协议,根据该协议,Akamai将收购Prolexic公司所有的流通股. 两家公司在技术和人才上的强强联合必将创造出更为完善的安全解决方案,保护企业网络和IP基础架构免受通过互联网传播的应

正确选择云安全网关提供商的5个关键事项

如今,企业意识到将工作负载和数据迁移到云计算不再是一个问题,因为这是必然的.虽然这种现实正在使企业业务变得更好,但它也使企业面临越来越多的安全问题.对于安全和风险(S&R)专业人员来说,企业对云安全的关注推动了对于一流的云安全网关(CSG)提供商提供服务的需求. 如果企业不知道如何策略性地选择合适的CSG提供商,弗雷斯特(Forrester Wave)调研公司2016年第4季度发布的名为"云安全网关"的报告提供了重要的指导.该报告列出了在确保云计算中集成数据保护和活动监控方面至

云安全只是提供商的事?用户需面对现实

对于企业来讲,云计算在给其带来机遇的同时,也带来了很多长期的挑战,比如可扩展性.技术更新和成本问题等.然而,云计算所面临的真正问题不是能力方面,而是安全:而安全的主要问题,又在于人的看法. 云安全更容易被忽视 事实证明,云安全的重要性相比传统的数据中心安全有过之而无不及.但现实中,其所得到的重视程度却并不能与之相匹.那么这是怎样的原因造成的呢?场所不同.传统数据中心占地面积大,容易被人接受,而云技术看不到摸不着,很容易被人忽视. 不在身边的数据中心,安全易忽视 而且,企业的IT团队将云服务交给云

IBM收购云安全服务提供商Lighthouse

IBM收购云安全服务提供商Lighthouse 价格未知[TechWeb报道]8月12日消息,IBM公司宣布,已经收购云安全服务提供商Lighthouse(Lighthouse Security Group, LLC).IBM未公布收购细节.Lighthouse Security Group(以下简称Lighthouse)总部位于美国罗德岛州(Rhode Island)的Lincoln市,是IBM合作伙伴Lighthouse Computer Services(Lighthouse Comput

Citrix DaaS:服务提供商如何部署虚拟桌面

桌面即服务市场需要支持吗?Citrix提供了业务资源.营销援助和参考体系结构,帮助服务提供商部署虚拟桌面. Citrix桌面即服务使服务提供商的合作伙伴,能够为各种不同类型的企业提供定制的.基于云服务的Citrix虚拟桌面. Citrix已经成立了一个项目,为合作伙伴提供他们需要的产品和服务,为客户提供基于Citrix的桌面即服务(DaaS)产品. Citrix DaaS产品使客户能够添加.删除桌面,减少内部IT资源负载. 他们还为客户提供了访问最新的Citrix虚拟化技术的权限. Citrix

金融安全资讯精选 2017年第十四期:十大顶级终端安全提供商报告,Uber承认数据泄露,微软“11月周二补丁日”发布53个漏洞补丁

[行业动态] 1.Gartner报告:十大顶级终端安全提供商 点击查看原文 点评:Gartner的<2017年终端安全魔力象限>报告为该行业中的公司排了个序,分为"领导者"."挑战者"."特定领域厂商"或"远见厂商".前十名包括趋势科技,Sophos,卡巴斯基实验室,赛门铁克,McAfee,微软,Cylance, SentinelOne,Carbon Black,CrowdStrike. [行业动态] 2.Uber

Radware荣获五项2017年全球卓越奖 称号顶级安全管理服务提供商

日前,全球领先的网络安全和应用交付解决方案提供商Radware(NASDAQ: RDWR)公司宣布,获得领先的信息安全研究和咨询指导机构信息安全产品指南颁发五项2017年全球卓越奖,其中包括Radware紧急响应团队(ERT)荣获的安全管理服务金奖,以及Radware攻击缓解系统荣获的物联网安全银奖. 2017年第13届安全行业全球卓越奖颁奖典礼在美国旧金山举行,对行业内各个领域的杰出事件进行表彰,包括产品.为成功做出卓越贡献的人以及优秀企业.来自全球安全行业多个领域的40余名评委参与本次活动,

对云提供商的安全要求

对某些人来说云是改变他们工作方式的绝好机会.而对另外一些人来说,云更像是一团模糊的概念.虽然我是云服务的一位粉丝, 但是也不能 盲目的选择云.如果你有云服务要转售,你需要询问云提供商的安全性.独立的云审计根据SAS70(由美国会计师协会AICPA制定,针对金融服务机构向客户提供服务的内部控制.安全保障.稽核监督措施的审计标准),云信任,云审计或其他云审计标准,你选择的提供商应该能够向你展示云性能和安全数据.你当然不要期望提供商透露它们工作中的每一个细节,因为这对它自身会造成安全威胁.但你能得到一