惠普和云安全联盟近日列举出云安全七宗罪,如果你要将自己的应用迁入云中,那么最好提前认识清楚这些“罪状”。看看你或你的云服务商是否犯下了这些罪状?
数据丢失/泄露
到目前为止还没有一种被广泛认可的安全级别,能够控制云中的数据安全。有些应用之所以会泄露数据是因为脆弱的API接入控制,以及密钥的生成、存储和管理不善。而且好的数据销毁策略也不存在。
共享技术漏洞
在云中,一个不正确的配置参数可能会跨整个网络环境到处复制,也就是说,会有众多的虚拟机共享同一配置参数。可考虑的解决的办法是,为补丁管理强制执行服务等级协议(SLA),为网络和服务器配置实施最佳实践。
心怀恶意的内部人
云服务商对其人员执行的背景审查级别可能会因企业对于控制数据中心访问的需求不同而不同。很多云服务商所提供的服务很好,但是和委托企业之间却存在着严重的信息不对称。应考虑执行服务商评价,规划好服务商员工的审查级别。
账户、服务及流量劫持
企业有大量的数据、应用和资源集中在云中,而如果云服务商的认证存在漏洞,那么入侵者便可轻松进入客户的账户,进而控制客户的虚拟机。建议对危险进行事前监控和双因素安全认证。
不安全的应用编程接口(API)
把云视为一个新的平台,而不仅仅是一个将应用开发外包出去的所在,这是很重要的。应在应用的整个生命周期内执行数据核查程序,开发人员应了解并执行某些与安全认证、接入控制和加密相关的规则指南。
云计算的滥用和恶意使用
坏人会比好人更具侵略性地使用云计算技术。我们看到,有很多黑客在将新的威胁手段和云计算的迅速结合方面颇为擅长,可以轻松地扩张或收缩威胁的规模。而一切仅需一张信用卡便可打开大规模威胁的闸门。
未知的风险
透明度的问题将会继续困扰着云服务商。有账号的用户只是和前端的界面互动,事实上并不知道后端有什么。谁知道服务商使用的是什么平台,什么级别的补丁?