保护共享技术的云安全贴士

公共云服务解决方案仍然还将继续保持其强劲的增长势头,因为他们可以快速的实现部署实施,有比私有云更低的成本,而且仅仅只需企业组织的IT工作人员提供最少的支持。然而,无论任何时候,只要是多个客户共享一个资源,包括诸如一项服务、硬件、或数据存储都总是存在风险的。而在本文中,我们将为广大读者朋友们介绍关于在多租户环境下保护您企业的数据和工作流程的可操作的技巧。

根据一家领先的安全产业集团云安全联盟所发表的一份白皮书介绍说,云服务供应商和他们的企业客户必须采取相应的措施,以确保攻入某一个客户环境中的攻击者不能危害到其他另一家的企业客户。而根据这份题为《2016年度十二大最主要的云计算安全威胁》报告指出,企业组织的安全管理人员们还必须承诺提供一套强大的整体性的安全方案。“哪怕是一个小小的单一的安全漏洞或是一项错误的配置,均有可能会导致整个云服务供应商所托管的所有客户的全军覆没。”该份白皮书报告说。

自从其于2010年发表其第一份云安全清单以来,共享技术——无论其是一款虚拟机管理程序、应用程序(SaaS)、基础设施(IaaS)、或平台(PaaS)都一直是云安全联盟(CSA)最为关心的问题。

“一个整体的共享技术陷入风险,诸如虚拟机管理程序、一个共享的平台组件、或在一个SaaS环境下的应用程序被暴露在风险之中,就不仅仅会危害其顾客;相反,其暴露了整个环境陷入危险和被破坏的可能性。这样的安全漏洞是相当危险的,因为其有可能会立即影响到整个云计算。”这份白皮书解释说。即使已经采取了一切的预防措施,企业组织仍然不应该让其高度敏感的工作负荷依赖于共享的技术。综合考虑各种云服务模式的部署

云技术是通过互联网访问简单的应用程序、基础设施和平台。下面,就让我们来分析考虑一下顶级的云部署模型吧:


 

无论任何时候,只要是多个客户共享一个资源,包括诸如一项服务、硬件、或数据存储都总是存在风险的。然而,公共云服务解决方案仍然将继续保持其强劲的增长势头,因为他们可以快速的实现部署实施,有比私有云更低的成本,而且仅仅只需企业组织的IT工作人员提供最少的支持。

为了确定适合一家企业组织的最佳部署云模型,其安全管理人员们首先应该检查项目预算、企业数据库的类型、为每种数据类型定义其安全需求、比较可行的解决方案的安全性。而在确定了哪些类型的数据信息可以被适当地存储在公共云服务后,管理员们将需要确定服务供应商是否能够在一款公有云服务内为客户的数据和系统提供充分的隔离。

隔离客户的数据和系统

一家云服务提供商必须在基础设施层面仔细的为每一家企业客户的数据和系统进行有效的隔离。在多租户环境中,云服务提供商必须确保攻击者无法越过一款操作系统的一个实例,在服务器上获得管理员级别的权限,并在该服务器上访问其他另一个客户的实例。

因为大多数这些弱点都被限制在一个特定的平台或非默认的配置中,故而多租户的漏洞通常的覆盖范围是有限的。然而,在2015年,一位来自安全技术公司CrowdStrike的研究人员发现了一个有着更广泛影响的漏洞。该“毒液(VENOM)”漏洞影响了全球数百万虚拟化平台的默认配置,并允许攻击者使用root级别的特权在受害者的虚拟机管理程序或虚拟机实例上执行代码。 “除了能够访问敏感的和个人身份信息,该毒液漏洞还可以用来公开访问企业组织的知识产权。”CrowdStrike 公司在报告中称。该bug通过一个软件更新被打了补丁。

据推测,大约有数千家使用受影响的技术的企业组织成为了受害者,但没有任何一家公开披露了该事故。企业组织经常都是静悄悄地处理了他们的数据泄露事件,以保护他们的声誉和保留客户的信任。

在多租户环境中的攻击可能是从某个客户环境开始的,如像毒液漏洞这种,或者可能是集中在最初原本不是为强划分设计的共享元素。这些包括磁盘分区,GPU和CPU缓存。

建议:专注于逻辑隔离

开源Web应用程序安全项目(OWASP)在其自己的十大云安全风险中指出:共享技术和多租户环境的安全性应该主要集中在客户环境的逻辑隔离上。例如,安全管理人员应该:

确定企业数据是否与来自其他企业客户的数据或数据备份夹杂在一起,这会使得很难或无法妥善的进行数据的存档或销毁。

要求供应商确保托管在同一物理服务器上的所有客户保持类似的安全态势,使得攻击者无法通过较弱的企业客户的云服务进入,并泄漏到更安全的企业客户的云。

建议:执行安全审计

OWASP建议,企业组织的安全管理人员们必须对其云环境的安全进行安全审计或评估,部分的涉及到对于所有层(操作系统、网络、应用程序、数据库)的访问管理权限。审计工作还应该包括对于架构、数据加密和变更管理的审查。如果云服务提供商不允许企业客户进行安全审计,那么,OWASP建议企业客户应该要求由独立的第三方来进行安全测试。

该安全审计将有助于帮助企业用户确定其云服务提供商是否是遵循了业界的最佳实践方案,如是否对于操作系统和应用程序及时打补丁和更新。而一项安全审计或许还能够揭示某些令人奇怪的云服务提供商有控制权限,而企业客户却没有的领域。例如,许多流行的云服务提供商提供了最先进的备份和灾难恢复选项。此外,许多云服务提供商提出发生服务故障中断会部分的退款,来担保其正常运行时间。即使没有进行正式的安全审核,许多企业客户也需要云服务供应商在采购过程中完成全面的安全和隐私调查问卷。

通过对云服务提供商实施问责,企业客户的安全管理人员们可以有效的管理那些有人可能会干扰其云服务或网络运营的风险。而为了进一步保护企业的系统,企业客户应遵循一系列的安全最佳实践方案,以保护云服务和现场数据信息。

确保一个多租户环境的安全

必须对多租户环境进行设计,开发,部署和配置,以确保用户的访问是经由服务供应商和企业客户进行了适当的分割的,进而能够与其他租户隔离开来,根据CSA推荐。企业客户的关键业务资产和敏感的用户数据必须被隔离,相关的会话也必须妥善管理。

在这份《2016年度十二大最主要的云计算安全威胁》白皮书中,CSA建议企业客户不妨使用下列最佳实践方案:

基于角色的最小访问需求限制用户访问

在所有主机上使用多因素认证

实施基于主机的入侵检测系统(HIDS)

使用基于网络的入侵检测系统(NIDS)

建立优秀的企业网络分割

要求供应商或服务商为变更管理流程强制执行指定的服务水平协议,发布修补程序和配置变化

OWASP指出,企业客户应该要求强大的加密和客户自有的加密密钥管理。换言之,云服务供应商不应该拥有对于加密密钥的管理。此外,CSA建议在其控制文件中,服务供应商和企业客户应该建立起相应的政策和程序:

为数据和数据容器进行标记、处理和加强安全

使用加密协议来保护存储的敏感数据和传输中的数据

管理用户访问,以确保适当的身份、授权和访问管理。重点领域应包括帐户设置、访问分割、身份信任验证、帐户凭据的生命周期管理、认证、授权,计费和多租户的标准。

维护、保留和管理审计日志的生命周期

监控用户的访问,以检测潜在的可疑网络行为或文档的完整性异常,并支持对于安全漏洞事件的调查

通过诸如脆弱性评估和渗透测试等措施,及时检测应用程序、网络和系统组件的安全漏洞

正式的变更管理包括供应商提供的补丁,配置的变化或企业组织内部开发软件的变化

一般的安全控制有助于安全共享技术

云服务面临着许多与传统的现场技术相同的安全威胁。这些安全威胁包括网络钓鱼、攻击者所设计的假扮为受信任一方,以吸引企业用户打开一个恶意网站或附件的计划。一个恶意的链接或附件在用户自己的电脑上打开,而不是在云应用程序中打开,这样就会使得整个企业网络处于安全风险之中。

因此,一些对于多租户的建议不仅仅是与多租户环境相关的。例如,一旦某个攻击者进入了企业网络内部,某些实践方案,如网络分段就能够通过阻碍攻击者在企业网络的移动改善企业组织的整体安全状况。

为高度敏感的工作流程考虑采用私有云

安全研究人员警告说,公有云服务并不适合企业组织的那些高度敏感的数据和工作流程,即使已经遵循了所有的最佳实践方案。对于这些情况,安全研究员丹·卡明斯基推荐企业可以采用一款私有云。“如果您企业会有这样一种能够从别的企业服务器跳到您企业服务器的bug的话,避免的最好方式便是不要让其他人能够在你的服务器上。”卡明斯基说。“这样做的成本会更高,但您基本上避免了被恶意攻击的风险。”

结论

为了更好地保护您企业组织的数据和工作流程,安全管理人员们必须权衡每种类型的数据权衡安全需求,以及各种不同的部署模型和解决方案的安全保护功能,同时认识到即使是最安全的技术也会伴随着相应的安全风险。如下是几点值得借鉴的:

云服务提供商和企业安全管理人员应确保在基础设施层面客户的数据和系统是被隔离的。

企业客户的安全管理人员应该要求对云服务供应商的安全进行审计;或在选择供应商的过程中要求云服务供应商提供完整的安全和隐私问卷或将该问卷作为定期合同审查的一部分。

无论是云服务供应商还是企业客户都必须制定并严格遵守全面的安全管理政策和程序。因为云服务是从用户的企业笔记本电脑或机器上使用的,那些提高了企业的总体安全状况的安全解决方案将有助于保护其避免额外的云安全风险。

对于高度敏感的工作流程,一款私有云服务将在一台专用的服务器上为一家单独的企业用户提供服务,其将会是比一款公共云或混合云更为安全的选择。

企业客户的安全管理人员可以通过了解风险,并选择最佳的安全解决方案,以实现项目目标,安全地为企业重要的业务提供解决方案。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-10-30 04:06:15

保护共享技术的云安全贴士的相关文章

三大技术破解“云安全+云保护”之谜团

本文讲的是三大技术破解"云安全+云保护"之谜团,如果说2009年信息安全产业的热点,毫无疑问"云安全"技术当之无愧.据记者观察,无论是新技术还是新应用,业内众多主流安全厂商都在向"云"靠拢.有意思的是,随着云安全应用的重要性日益凸现,针对云端服务器群组的保护技术也推陈出新.可以说,当前的这朵"云"越来越有味道了. 谜团一:理解"云安全"技术 在大家理解"云安全"技术之前,记者首先要强调一

“云安全+云保护” 谜团技术解析

本文讲的是"云安全+云保护" 谜团技术解析,[IT168 资讯]如果说2009年信息安全产业的热点,毫无疑问"云安全"技术当之无愧.据记者观察,无论是新技术还是新应用,业内众多主流安全厂商都在向"云"靠拢.有意思的是,随着云安全应用的重要性日益凸现,针对云端服务器群组的保护技术也推陈出新.可以说,当前的这朵"云"越来越有味道了.谜团一:理解"云安全"技术 在大家理解"云安全"技术之前,记

日趋成熟的技术带领云安全跨越未来

本文讲的是日趋成熟的技术带领云安全跨越未来,[IT168 资讯]与日俱增的安全风险不仅拖垮了防火墙,也拖垮了防病毒系统.IDC安全产品服务部门的研究总监Charles Kolodgy表示:"基于特征码的传统恶意程序检测方法已不能满足要求. 用户的行为在改变,威胁也在不断演变,然而恶意程序检测技术却没有跟上步伐."安全厂商们急需一个新的思路解决这一问题,这时候被看做网络安全未来方向的云安全来了,与之对可以抗衡的Web安全网关也来了.二者的共性是能够抵挡来自互联网的风险,区别就在于:云安全

云时代企业如何保护共享文档数据安全?

本文讲的是云时代企业如何保护共享文档数据安全,越来越多的用户开始涌向云计算文件共享服务(例如Dropbox.Google Drive和iCloud),因为它们易于使用,并允许从任何地方访问数据.简言之,这些服务可以帮助用户提高工作效率. 然而,对于企业来说,文件共享具有一个很大的缺点.一旦数据转移到云环境中,企业就失去了对数据的控制权.为了重新获得控制权,企业需要管理这些数据的安全性,而这就意味着企业有了更多的工作,无论是对员工而言还是对IT技术人员而言. 数据安全供应商Verdasys产品副总

面向服务链构建的云制造资源集成共享技术研究

面向服务链构建的云制造资源集成共享技术研究 王正成  黄洋 为实现时序约束关联任务驱动的云制造环境下面向服务链构建的制造资源集成共享,研究并提出一种能促进云制造环境下制造资源快速共享.广域集成和分散服务特点的服务过程模型,对基于语义本体的云制造任务与资源建模.基于Web服务资源框架的云制造资源的平台服务化封装方案.云制造任务分解与时序约束关联原子任务链构建技术,以及云制造资源服务链构建技术等关键问题进行了研究,有效解决了云制造环境下异构资源描述.虚拟化.检索匹配与服务组合问题,最后通过仿真算例对

数据中心内独享与共享技术

数据中心里部署有各种各样的系统,其中数据处理系统是最为重要的部分,主要由服务器.网络.存储等设备组成,这里有各种资源,比如:带宽.计算能力.存储空间等,这些资源可以是共享的,也可以是独享的,具体要看是怎样的应用.顾名思义,通俗的讲"共享"就是与大家合用的概念."独享"就是自己用的概念.在数据中心里,常常指使用那些带宽.计算.存储资源的方式.本文就来详细讲一讲,数据中心内的独享与共享技术.首先从数据中心内部的各种IT资源讲起. 带宽 带宽资源如果采用的是共享方式,数据

探究在C++程序并发时保护共享数据的问题_C 语言

 我们先通过一个简单的代码来了解该问题.同步问题 我们使用一个简单的结构体 Counter,该结构体包含一个值以及一个方法用来改变这个值:   struct Counter { int value; void increment(){ ++value; } }; 然后启动多个线程来修改结构体的值:   int main(){ Counter counter; std::vector<std::thread> threads; for(int i = 0; i < 5; ++i){ thr

瑞星荣获“最佳技术创新奖” “云安全”引领未来方向

第十五届中国国际软件博览会在京隆重召开,国内知名安全公司瑞星喜获"中国软件和信息技术服务业10年最佳技术创新奖".该奖项由信息产业发展研究院颁发,充分 肯定了瑞星公司在信息安全领域的深厚技术实力和在"云安全"技术上取得的卓越成果.这一荣耀的取得,得益于瑞星所拥 有的亚洲最大"云安全"数据中心,该中心共有超过5000台的企业级专业服务器,设计能力可为10亿用户提供高质量的安全检测."云安全"信息交互及互联网威胁处理服务.通过不断

用区块链保护共享数据?存储初创公司Gospel开始试水

初创公司Gospel Technology声称正在利用区块链(Blockchain)来保护和验证可共享的数据.Gospel称,区块链技术的方法可以做到这一点,而且要比任何替代方法更简单. Gospel Technology公司创建于去年12月,CEO Ian Smith曾是Butterfly Software的共同创始人.和首席技术官,后者主要提供数据中心存储规划和迁移工具软件,在2012年9月被IBM收购,金额未对外披露. 在创建Butterfly之前,Smith曾在戴尔是一名存储转型顾问,在