云计算服务安全八个必要条件

如果你是一名正在搭建新的云计算服务的工程师,或者是一名正在评估服务提供商的安全策略的潜在用户,下列八大戒条可以使你避免在云服务中出现安全漏洞,这些漏洞已经导致账户信息失窃和敏感信息泄露。

  

不要寄希望于得到全面的戒条清单,现在的这张清单只能帮助你把漏洞缩小到最小的范围内。如果服务要求高于HIPAA或PCI规范等标准安全措施,就应该把那些不能遵守这些简单规则的厂家驱逐出外或提出异议。

  

一、不要忘给密码加盐

  

加密盐是在用单项函数加密前,将一根字符串加到密码上。这是一个非常重要的元素,可以保护密码。今年6月,LinkedIn非常吃惊地发现,有650万用户的密码公布在一个俄罗斯用户论坛上。这些密码都没有加盐,使用简单的词典式攻击或类似技术就能马上侵入60%的密码。在实施和操作方面,给密码加盐是件小事,人们常常忽略给现代系统的密码加盐。

  

二、不要使用MD5散列算法给密码加密

  

芯片制造商恩威迪亚(NVIDIA)承认,7月初其论坛上有400,000用户的密码被窃取,这些密码都没有加盐,用MD5散列算法给密码加密。早在7年前,著名计算机安全专家BruceSchneier就宣布了MD5失效,目前人们普遍认为MD5“成事不足,败事有余”。最好的做法是要求使用更为复杂的bcrypt之类的跨平台文件加密工具进行加密。

  

三、不良设计方案也会暴露敏感数据

  

新式用户界面架构松散,可能会变成无意识的信息泄露平台。随着AJAX技术使用量的增加,网络和移动应用程序常常能把大量数据“推到”终端用户设备上,用来支持多个视图和操作,而无需发出新的请求。如此一来,就能带来更佳的用户体验和更快的应用程序响应速度。

  

然而,这些技术的不当使用可能导致敏感信息的泄露,让看起来有效保护的系统更加脆弱。

  

四、不要使用通用密钥给多用户数据加密

  

如果办公楼中的每个房间都使用同一把锁,每个租户领的钥匙也一样,这样的办公室没有人会租用。同理,在给云计算中的敏感数据加密时,应该坚持用其自己特定的密钥进行加密。因多用户的数据而使用通用加密密钥使所有这些用户遭受额外的泄露风险。如果有一个用通用密钥加密的对象成功遭到袭击的话,那么每一个使用同一个通用密钥加密的其它对象都会成为潜在的受害者。

  

在多租户平台上,这一点尤为重要,因为很有可能一名或多名用户或租户故意泄露通用密钥,并由此获取其它租户的数据。

  

亚马逊(Amazon)的服务器端加密支持(ServerSideEncryptionSupport),为每个对象存储信息时都使用通用密钥,就是一个合理设计的范例。但是,并不是每一个为加密敏感信息买单的厂家都坚持这个立场。

  

五、不要无限期地使用重置令牌

  

每一项与个人用户和密码有关的服务都需要某种形式的密码重置。密码重置一般采用“重置链接”或向提出重设密码申请的用户的电子邮箱发送“临时密码”等方法。最佳做法是在一段时间后使临时凭证国企,但大多数服务不能坚持遵循这种原则。

  

本月雅虎的泄露事件表明,电子邮件账户是病毒和恶意软件传播、身份信息盗窃的主要目标。设计科学的云服务应该避免将有效密码保存在电子邮件中的时间超过必要的密码重设时间。15分钟后密码失效是一个很好的方法。

  

六、不要将用户密码保存在移动设备或共享工作站

  

在安全与可用性孰轻孰重问题上,安全的问题常常让步于终端用户对可用性的要求。当云计算服务安装在共享工作台或移动设备的应用程序上,用户常常希望只需一次就能登录到云服务上。然而,如果应用程序能让用户无限期地获得验证,就必须用一种不安全的方法存留用户密码,使得服务的安全性依赖于设备的安全性。

  

如果在重启或退出登录后,应用程序可以保存和读出密码,那么访问设备的攻击者也能这么做。诸多证据证明不应该将设备的实际占有等同于授权服务。

  

七、不要存留身份认证令牌

  

最后一条戒律解决了用户密码保存问题,确保密码不会因为恶意用户访问同一个工作站而被窃取。这条戒律与最后一条类似,但是提醒我们在保护密码的同时通过其它持续方法允许验证,这两种方法都可能“贻误时机”。

  

Dropbox网站也由于无法坚持这个做法,而遭到媒体负面的报道。Dropbox网站用户发现,仅仅复制受害人电脑的一个文件就可以秘密获得任何人账户中的所有文件。

  

八、一定支持与最新流程的整合

  

有一句安全方面的老格言这样说道;“你让某事变得更安全,它就会变得更不安全。”原因何在?因为如果安全碍事的话,善意的用户也会想出变通的方法破坏安全。因此,粘在监视器前面的密码和回收站会造成一发不可收拾的结局。

  

我们把这些经验教训运用到云计算服务领域,意味着必须用新型工具和工作流集成来支持用户的需求。如果不想让用户从云计算服务中加载敏感文件、把敏感文件发送给同事的话,那么云服务就必须提供分配和协作的便利方法。如果不想让用户共享一套共同的凭证,那么就要让认证和授权过程尽量简化。

  

对于云计算服务提供商来说,这还只是开始。很多提供商在进入市场时在安全方面偷工减料。今天,如果在评估云计算服务提供商的安全策略时进行尽职调查,就可以达到未雨绸缪的效果。如果你正在搭建云服务,那么坚持上述八条戒律则就会实现良好的开局。

时间: 2024-07-31 13:49:36

云计算服务安全八个必要条件的相关文章

感恩八年 phpwind推社区网站云计算服务

中介交易 SEO诊断 淘宝客 云主机 技术大厅 今年五月,阿里云计算旗下互联网产品与服务提供商phpwind推出"创业云时代--phpwind社区网站助力计划",以 phpwind社区软件系统+云服务器+互联网创业服务的模式,降低广大中小互联网创业者的起步门槛,帮助中小互联网企业成长,推动围绕着phpwind核心程序的社区网站创业者云计算服务计划.自6月15日起至7月31日,进一步举办"感恩八年,携手有礼"有奖活动. phwpind自2003年创始至今,风雨8年,经

云计算设计模式(八)——外部配置存储模式

云计算设计模式(八)--外部配置存储模式 移动配置信息从应用部署包到一个集中位置.这个模式可以提供机会,以便管理和配置数据的控制,以及用于跨应用程序和应用程序实例共享的配置数据. 背景和问题 大多数应用程序运行时环境包括位于应用程序文件夹内的在部署应用程序文件保持配置信息.在某些情况下也能够编辑这些文件来改变该应用程序的行为,它已经被部署之后.然而,在许多情况下,改变配置所需要的应用程序被重新部署,从而导致不可接受的停机时间和额外的管理开销. 本地配置文件还配置限制为单个应用程序,而在某些情况下

广东群英企业云计算服务平台正式启动上线

CC2010 企业通迅 协同办公 视频会议 产品上线 历经十八个月的研发与测试,由广东群英网络有限公司自主研发基于云计算平台的CC2010企业通讯系统与SAAS在线软件服务平台将于2010年7月10日正式上线.依托于广东群英七年强大的技术研发与IDC服务实力,CC2010企业通讯与SAAS在线软件服务自诞生起便拥有高稳定.高安全的网络环境与技术服务实力. 2010年4月 "广东省企业信息化服务平台示范基地" 正式落户广东群英.而群英本次开发的企业云计算服务平台是以CC企业即时通讯.协同

针对云计算服务安全思路的改进:花瓶模型V4.0

问题提出: 随着云计算与物联网的兴起,使得互联网正在日益"城市化",传统的四合院(城域网)正在被摩天大楼(云计算数据中心)取代,刚刚组建不久的"地球村"很快发展成"地球城":物联网正在把"城"中所有的物品信息化,现实世界与虚拟世界正在成为"实时"的对照版. 但云计算服务模式也为信息安全带来新的问题,虚拟化的服务,不同用户的业务"同时"运行在一个服务"容器"内,传统信息

云计算服务推动口令破译技术走向新时代

问题提出: 口令攻击(就是破译或盗取已知账户的口令进行入侵)是黑客最直接也是最有效的方式,我们熟知的系统管理员账户上最容易被攻击的. 口令破译最简单的方式是暴力破解,就是遍历全部的口令空间,一定可以发现要找的口令.口令的强度主要来自两个方面:一是自身的复杂度,如长度与空间(字符集个数):二是身份认证的方式,如加密算法与认证过程等.大多数系统的口令安全强度是建立在口令长度基础上的.暴力破解的原理也非常简单,其实现的最大困难是计算能力的不足(在有限的时间内完成口令空间的遍历),能拥有巨大计算资源的多

微软:云计算服务的利润很低

[驱动之家消息]微软首席软件架构师Ray Ozzie昨日表示,提供在线服务也就是众所周之的云计算服务会降低公司现有软件业务的利润率. Ozzie在昨日的硅谷技术会议上说:"该服务的利润不想现在软件的利润,云计算会使得我们的总营收增加,但是不会带来太多利润." Ozzie是微软逐步进入云计算领域的主导力量,自盖茨三年前退隐之后他一直管理着微软的长期技术策略.微软目前为止还仅仅处在对云计算的试探阶段,投资建设了针对家庭用户的数据中心,今年晚些时候还会推出Windows的云计算版本Azure

Ubuntu智能手机操作系统内置云计算服务

据国外http://www.aliyun.com/zixun/aggregation/31646.html">媒体报道,Ubuntu昨天通过网络视频演示了正在开发中的智能手机操作系统.与Android相似,Ubuntu也基于Linux,同样是一款免费的开放源代码操作系统. 图片说明 总体而言,与苹果iOS相比,Ubuntu更开放,而且是免费的:与Android相比,Ubuntu更精致. 对于Ubuntu而言,真正的考验是组织移动开发者社区为其开发应用,说服硬件厂商预装这款操作系统.在现实世

微软的云计算服务 azure 与亚马逊的 aws 有什么区别 》?

问题描述 微软的云计算服务 azure 与亚马逊的 aws 有什么区别 >? 微软的云计算服务 azure 与亚马逊的 aws 有什么区别 >? 解决方案 简单来说,Azure提供了非常全面的云计算服务,包括IaaS. 光说IaaS,Azure不输给AWS,你可以对比下 这是AWShttp://www.amazonaws.cn/ec2/details/ 这是Azurehttp://azure.microsoft.com/zh-cn/pricing/details/virtual-machine

微软启用云计算服务Windows Azure 云计算前景无限

无论何时,新事物的出现都会伴随着人们的质疑和否定.同理,一个新概念的诞生总是会在一定时间内得不到用户的认可,或者市场在接纳新概念的过程中会有所观察和反复,因为新事物的出笼需要一个反刍过程,需要在不断打磨中被大众接受和认可,这本无可厚非.但云计算出现却打破了这一常规,表现出了不一样的市场接纳程度.正因如此,很多公司都打上云计算的背景和技术,一时间云计算成为了不可阻挡的市场潮流. 当然我们关注的还是底层或者说源头的云计算带来的机会和技术影响力,在这方面微软的云计算自然是不可忽略的一种应用.毕竟微软本