加强云计算安全--保护组织时要考虑的安全因素

简介: 云计算带来了对安全问题的担忧。在 Unisys Corporation 最近的一次在线调查中,312 位回复者中有 51% 的人认为安全性和数据私密性仍然是阻碍他们接受云计算的最主要因素。在 2009 年 6 月的另一次 Unisys 网络调查中,72% 的回复者表示,在把工作负载转移到云时安全性是他们最关心的问题。这些担心有道理吗?还是杞人忧天?我们来看看。

关于云的考虑因素

在采用任何新技术时,必须判断它仅仅是时髦,还是确实能够满足自己的业务需要。与自己拥有计算资源相比,云计算在硬件和软件许可证两方面都可能大大节省资金。但是,仅仅是省钱不一定意味着它满足您的业务需求。具体来说,您必须研究这种技术和提供商,确保它们可以满足组织的安全策略需求、法律需求(比如在诉讼期间披露信息等问题)以及与组织相关的所有法律法规的要求。

云计算是否满足您的业务需求在很大程度上取决于在云中存储、操作或共享的数据的类型。

如果您正在考虑使用云来管理敏感信息,包括个人识别信息 (PII)、HIPAA 或 Payment Card Industry (PCI) 数据或者高度机密或对于组织有价值的任何数据,就要研究与此类数据相关的安全策略。例如,如果要存储信用卡号,安全策略会反映 PCI 需求,持卡人数据在通过公共网络传输时或静止存储(比如存储在文件或电子表格中)时必须加密。如果打算向云发送 PCI 或需要加密的任何其他数据,就要询问提供商是否可以满足加密需求。另外,不要忘了加密密钥管理需求。还要确保可以在这些对象上设置访问控制,而且在默认情况下设置为拒绝访问。

应该询问提供商的安全实践。我会问下面这些问题:

管理员(根用户)是否只能访问工作需要的数据? 管理员是通过加密的会话访问服务器吗? 补丁管理战略是什么? 是否运行杀毒和恶意软件保护软件? 服务器的配置符合 PCI、HIPAA、Sarbanes-Oxley 或您必须满足的其他法律法规的要求吗? 密码需求和组成规则是什么? 可以把密码规则设置为与组织的需求匹配吗?

大多数组织的安全策略要求在职员被解雇或离职时进行某些处理。在组织内部,这些操作在职员离开的同时执行。您应该询问云提供商,他们是否可以快速地识别并关闭这些前职员的账户,确保立即取消他们的访问权。

应该询问的另一个问题是提供商执行哪种日志记录。许多法律法规常常要求执行某一级别的日志记录(审计)。组织的安全策略可能要求记录管理员操作、授权失败、健康状态数据读取、失败的登录尝试等等。

要考虑的另一个方面是,如果云提供商受到有目的的攻击,您组织的信息就可能落入黑客之手。糟糕的配置会让黑客能够轻松访问组织的网络,这是某些入侵攻击得以成功的原因。但是,由于数据价值或数量上的原因,一些入侵被发现了。(想想信用卡处理机构 Heartland Payment Systems 受到的攻击,这是历史上最大的数据泄露事件之一。)尽管通过选择适当的安全设置可以相当轻松地避免一部分攻击(只需使用比较安全的设置,黑客很可能就会转向别的目标),但是防御有目的的攻击就像是一场与黑客的战争。因为云提供商存储大量数据,他们可能会成为有目的攻击的目标。如果存储在云中的信息被窃,您的组织会有多大损失?可能没有损失,只是会很烦人。但是,根据数据类型的不同,也可能损失很大(比如说泄露商业机密),或者显示需要实施入侵通知计划。

提供商还可能成为拒绝服务攻击的目标。考虑一下,如果存储在云中的服务或数据不可用,对您的组织会有多大影响。

如果您的组织在诉讼中处于不利地位,在信息披露过程中可能需要提交一些电子数据。这通常称为电子披露(e-discovery),数据可能包括电子邮件、数据库、文档和即时聊天记录。在使用云提供电子邮件服务之前,应该检查提供商的数据保留策略。它应该与组织的策略一致,保留数据的时间既不应该太短,也不应该太长。还需要了解获取数据所需的过程,包括要支付的额外费用。

要研究的另一个方面是数据私密性。美国的一些州对于数据私密性有特殊的要求。如果组织在欧洲开展业务,还要考虑数据存储方式是否会违反 EU Data Protection Standards。请记住,在把数据发送到云时,存储数据的服务器可能位于任何地方。跨国界传输数据可能会违反私密性法律。

最后,应该确保虚拟机 (VM) 技术和配置的安全性。如果要把 PII 或 PCI 数据发送到云,就必须确保没有得到授权的人无法访问数据。如果不愿意与别人共享服务器,应该考虑要求组织在云中有自己的服务器。在这种情况下,组织中的用户仍然可以使用云,如果 VM 被攻破了,至少可以确定是组织内部人员干的。

一些组织不把数据放在公共的云中,而是创建私有的云。这让他们可以享有云的一些好处,同时保持对上述安全问题的控制能力。

这些安全性和遵从性问题促成了Cloud Security Alliance(www.cloudsecurityalliance.org)的建立,这个联盟的目标是定义和推广用于保护云计算的最佳实践。还有另一个组织 Open Cloud Manifesto (http://opencloudmanifesto.org),IBM 是它的支持者,这个组织的目标也是确保云的安全性以满足组织的需要。

云在安全性方面的优点

云计算从安全性角度来看也并不是完全没有优点。许多小型公司无力负担安全特性,但是云提供商可以。例如,大多数中小型组织不具有实现安全运营中心 (SOC) 所需的资源。SOC 可以汇聚组织中各个地方的事件和信息,执行实时分析,对外部威胁发出警报和/或执行防御措施。云提供商可能有 SOC,这有助于防御和响应安全攻击。通常还有专职的安全专家监督他们的运营。由于有这些专用的资源,他们能够更及时地应对最新的威胁,应用最新的安全补丁。

不要害怕云

我并不是在说云计算不安全,不应该使用它。根本不是这样的。我曾经使用 Google 电子表格保存一个项目的任务清单,此项目有英国的业务伙伴。这种做法比我们使用过的任何方法都高效得多。但是,这个电子表格不包含任何机密数据。如果存储它的服务器被攻破了或不可用,并不会违反组织的安全策略或任何法律法规。

我希望您考虑组织管理的数据的类型,更新安全策略中的数据分类部分,为数据是否可以发送到云制定规则。然后,在组织中进行相应的教育。与许多很酷的新技术一样,职员们可能很喜欢享有云计算的好处,而不知道把某些数据发送到云是不合适的,不知道只允许发送某些类型的数据。

一定要考虑和采取适当的措施来保护组织的数据,但是不必害怕云。

时间: 2024-10-04 02:59:28

加强云计算安全--保护组织时要考虑的安全因素的相关文章

云计算来临之时 应该未雨绸缪安全问题

本文讲的是云计算来临之时 应该未雨绸缪安全问题,云计算也许是一大批技术时髦词语当中最走红的,但它已经在公司企业和众多消费者当中广泛使用.更令人吃惊的是:使用云计算的人大多数并没有意识到这一点. 云计算这个现象实际上到底会变成多惊人的现象?它到底是不是一种新概念?说得更直接些,为什么那些CIO们应当关注云计算? 为了帮助解答这些问题,福布斯网站(Forbes.com)特地采访了高原资本合伙公司(Highland Capital Partners)的普通合伙人Peter Bell先生.Peter B

《构建高可用Linux服务器 第3版》—— 2.7 系统维护时应注意的非技术因素

2.7 系统维护时应注意的非技术因素 我们在平时进行系统维护时,除了技术方面的因素外,还要注意一些非技术的因素,因为它们也是安全隐患,如果大意,极有可能影响网站运行,我特地归纳了几点,如下所示: 在机房巡视时,我发现很多的管理员特别喜欢用root进行维护,并且不logout就直接走人了,这种做法是极其危险的.因为如果机房的机器多,会涉及几个部门的System Admin,极容易出现误操作的情况,所以正确的做法应该是操作完成后应立即用CTRL+D快捷键退出,然后锁上机房门.另外,我建议重要的服务器

给云计算泼冷水之时,不得不承认它确实做了这些事..

云计算自"诞生"以来,业内不乏有唱衰的声音.技术的发展使得云计算早已脱胎换骨,从模糊的概念演进为切实的应用产品以及服务,云计算作为一种技术架构包含了虚拟化.自动化部署.分布式计算等技术,对外表现出了强大的并行计算性能.规模伸缩性和健壮性.如今云计算可以做的事情有很多,只有你想不到,没有它做不到. 大规模业务的迁移 如今,固定网络和移动网络有着更快的互联网速度,使互联网交付的应用更加便捷,这些应用其中包括如客户关系管理.娱乐流或大型多人在线游戏等.在最基本的层面上,这样一个庞大的服务范围

制定云战略时必需考虑的几大因素

在过去的几年里,对于将数据中心内的数据迁移到外部去的举措,企业高层都是犹豫不决的,原因是无法保障迁出数据的安全和可用性.然而随着云技术的逐渐成熟,CIO们的想法已大为改观,他们希望以最有效的方式利用公有云和私有云的混合方式.混合云提供了一种能够融合企业内部资源与公共服务的改进的方法.部署混合云环境有诸多的好处:灵活性.按需付费.精准的时间安排.更多的资源.更好的控制.更好的SLA.有保障的安全,以及改进的性能等等. 市场调研公司Gartner指出,到2017年底将有接近半数的大型企业部署混合云.

欧佩克在制定产油政策时将考虑石油库存因素

新华网阿尔及尔11月24日电委内瑞拉能源和石油部长拉斐尔·拉米雷斯24日在阿尔及尔说,石油输出国组织(欧佩克)将在下个月举行成员国石油部长会议讨论产油政策,届时会把高企的石油库存因素考虑在内. 拉米雷斯24日参加了正在阿尔及尔举行的第三次阿尔及利亚-委内瑞拉混合委员会会议.在回答有关欧佩克是否会保持日产限额不变的问题时,他说,欧佩克最关心的是石油市场的稳定.在下个月的石油部长会议上,欧佩克各成员国代表将探讨2010年经济前景,并把高企的石油库存因素考虑在内. 拉米雷斯说,欧佩克去年起削减原油日产

交换友情链接时不可忽视的四个因素

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 站长都会遇到过友情链接的交换,不论是自己找别人交换,还是别人找上门来跟自己做交换.对于友情链接,站长都知道好的权重高的友情链接是很难找的,而且要让别人跟自己交换还要网站各项因素都门当户对的.这样就会使得一些新站和权重比较低的站交换友情链接时常常吃到闭门羹.对于交换友情链接时,并不是别人找上门就交换,还要考察一下对方的网站情况,不要让友情链接连

云计算SaaS采用要考虑的5大因素

每个现代企业似乎都在努力拥抱最新的技术,尤其是云计算技术.虽然大多数人都在盲目地向云计算中的SaaS(软件即服务)产品转变,但通常在这种转变带来的缺陷所花费的时间有限. IT领域已经看到了解决方案被淘汰的方式的重大转变,一个重大的变化是服务以纯软件实现.企业不再希望购买零售软件,他们需要一个端到端的解决方案,以满足他们从安装到服务管理的每个软件需求.许多云计算解决方案都在这种模式下提供,无论是基于公有云还是私有云.研究报告显示,未来的方向是SaaS:Gartner近期发布的报告显示,云办公系统(

选择虚拟主机时要考虑到SEO因素

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 虚拟主机对SEO优化的影响,想必很多人都没有注意过,也有人在选择虚拟主机的时候不是很注意,而这个时候,就可能造成小问题变成大麻烦了,虚拟主机对网站的搜索引擎排名影响很大.在寻找虚拟主机提供商的时候,千万不要只考虑价格因素. 网站所在的服务器出了问题,不仅仅影响网站的受众群,也会影响到搜索引擎优化这些问题的,因此选择服务器时要特别注意以下几点,

当网站排名波澜起伏时 Seoer关心过这些因素吗

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 做过网站优化的朋友相信都会遇到过这样的一段经历:辛辛苦苦看到自己优化的网站排名上升到理想排名了,但是第二天发现又倒退到100名之外-.这样的情况不断重复,无疑让满腔热情的Seoer被泼了一盘冷水. 网站排名波澜起伏其实是一件再也平常不过的事情,但是正所谓事出必有因,网站排名不稳定我们不能只怪百度的算法,也应该去从网站自身去寻找原因.其中有一些