不管是對(duì)于商業(yè)還是家庭用戶來說,云存儲(chǔ)正成為一種流行產(chǎn)品。如亞馬遜S3、Box、Copiun和Thru等服務(wù)擁有功能豐富的產(chǎn)品,使用戶可以輕松地備份、同步和存儲(chǔ)文檔和文件。
盡管普通消費(fèi)者在使用這類服務(wù)時(shí),不需要有太多的顧慮,但是,在選擇云存儲(chǔ)服務(wù)時(shí),從加密到數(shù)據(jù)生命周期管理,組織需要解決很多安全方面的問題。企業(yè)的新興領(lǐng)域關(guān)注于定義和控制訪問方法以及定義實(shí)現(xiàn)基于云存儲(chǔ)的控制 。
在本文中,我們將解釋為什么云存儲(chǔ)訪問控制是一個(gè)重要問題,以及在制定和實(shí)施云存儲(chǔ)訪問控制和架構(gòu)時(shí),企業(yè)應(yīng)考慮哪些問題。 我們還將討論,在云提供商情境下,如何評(píng)估訪問控制。
云存儲(chǔ)訪問控制措施
無論是云提供商管理員還是企業(yè)用戶,管理訪問控制應(yīng)該是首要考慮的問題。 例如,Jacob Williams在2013年的Black Hat Europe會(huì)議上介紹關(guān)于Dropbox惡意軟件交付、指揮和控制問題,以及說明了自由訪問云存儲(chǔ)庫是危險(xiǎn)的,可能會(huì)導(dǎo)致數(shù)據(jù)泄露。
在2012年,Mat Honan的icloud帳戶被劫持,在這次泄漏事件中,使用了社會(huì)工程技術(shù),并可能涉及鍵盤側(cè)錄。同時(shí),由于該事件,許多以消費(fèi)者為中心的例子,訪問控制問題仍然放在第一和中心的位置。限制哪些人可以訪問云存儲(chǔ),如何訪問云存儲(chǔ),以及從哪里訪問云存儲(chǔ),在評(píng)估云存儲(chǔ)方案時(shí),這些問題都應(yīng)該作為重點(diǎn)問題考慮。
● 以下是企業(yè)在實(shí)施云存儲(chǔ)服務(wù)時(shí),關(guān)于訪問控制機(jī)制,企業(yè)應(yīng)該關(guān)注的一系列問題:
● 管理工具和其他管理應(yīng)用存儲(chǔ)的用戶密碼使用加密格式嗎? 如果使用了加密格式,是什么類型的?加密格式經(jīng)過定期測試嗎? 此外,存儲(chǔ)管理應(yīng)用程序允許的密碼長度、類型和持續(xù)時(shí)間的設(shè)定與執(zhí)行?
● 云存儲(chǔ)基礎(chǔ)架構(gòu)支持什么類型的安全連接?支持一般的安全通信協(xié)議嗎?如SSLv3 、 TLS和SSH?
● 活動(dòng)用戶的會(huì)話是否超時(shí)? 如果沒有一個(gè)合理的超時(shí)時(shí)間,在空閑客戶端的端點(diǎn),就會(huì)存在會(huì)話劫持的風(fēng)險(xiǎn),是相當(dāng)糟糕的。
管理工具支持多個(gè)管理員配置,來提供細(xì)粒度的安全水平? 管理應(yīng)用程序的訪問和配置云存儲(chǔ)應(yīng)該根據(jù)時(shí)間、日期和功能來配置選項(xiàng),從而限制管理員的訪問。 所有管理員的操作應(yīng)該被記錄下來,用于審計(jì)和報(bào)警,并且這些記錄應(yīng)提供給企業(yè)的安全團(tuán)隊(duì)。
云存儲(chǔ)管理應(yīng)用程序是否有能力定義細(xì)粒度角色和特權(quán)?為了保持適當(dāng)?shù)穆氊?zé)分離,以及執(zhí)行最少權(quán)限原則,這種能力應(yīng)該被認(rèn)為是強(qiáng)制性的。
除了這些關(guān)鍵問題,應(yīng)該仔細(xì)審查云存儲(chǔ)基礎(chǔ)架構(gòu)訪問方法的整體設(shè)計(jì)和架構(gòu)。 企業(yè)可以考慮的一種方法是“CloudCapsule,”是一種全新的云存儲(chǔ)訪問控制方法,由喬治亞理工大學(xué)信息安全中心(GTISC)在“ 2014年新興網(wǎng)絡(luò)威脅報(bào)告 ”中提出。 CloudCapsule利用本地安全虛擬機(jī),用戶可以利用訪問云存儲(chǔ),數(shù)據(jù)被發(fā)送之前會(huì)自動(dòng)加密。 這樣的話,用戶的本地系統(tǒng)與云服務(wù)數(shù)據(jù)交換之間在一定程度上分離開,同時(shí)也使得發(fā)送到云環(huán)境中的任何數(shù)據(jù)都會(huì)自動(dòng)加密。 繼GTISC開發(fā)的模型之后,目前很多組織要求所有的云存儲(chǔ)服務(wù),通過虛擬桌面基礎(chǔ)架構(gòu)的虛擬機(jī),可以訪問,可以使用數(shù)據(jù)丟失防護(hù)(DLP)策略進(jìn)行控制與掃描 。
與云存儲(chǔ)提供商直接對(duì)接的加密網(wǎng)關(guān),也越來越受歡迎。 例如,CipherCloud代理可以自動(dòng)加密發(fā)送到Amazon的S3、RDS和EBS存儲(chǔ)服務(wù)的數(shù)據(jù),并且,可以自動(dòng)加密發(fā)送到存儲(chǔ)提供商的數(shù)據(jù),如Box。 端點(diǎn)安全工具,如whitelisting和DLP代理也可以用來限制云存儲(chǔ)客戶端的安裝,并且,新的基于網(wǎng)絡(luò)的監(jiān)控工具,比如Skyhigh網(wǎng)絡(luò)公司可以監(jiān)控、控制云存儲(chǔ)服務(wù)的訪問。
提供商控制
我們已經(jīng)明確了組織如何審視云存儲(chǔ)訪問控制,但是,在云提供商環(huán)境內(nèi)部的訪問控制措施,也應(yīng)該進(jìn)行仔細(xì)評(píng)估。 當(dāng)評(píng)估云存儲(chǔ)提供商時(shí),注意一些已經(jīng)設(shè)置得當(dāng)?shù)脑L問控制和數(shù)據(jù)保護(hù)策略:
1、首先,管理用戶,特別是存儲(chǔ)管理員,在訪問存儲(chǔ)組件和內(nèi)部區(qū)域時(shí),應(yīng)按規(guī)定,利用強(qiáng)大的身份驗(yàn)證方法。
2、提供商存儲(chǔ)環(huán)境下,應(yīng)充分利用隔離和分割技術(shù),比如安全分區(qū),交換機(jī)和主機(jī)的結(jié)構(gòu)身份認(rèn)證,超過全球通用名或者iSCSI單獨(dú)限定名的值,以及單獨(dú)的交換機(jī)和整個(gè)結(jié)構(gòu)的安全管理。
3、云服務(wù)提供商也應(yīng)確保,每位客戶的服務(wù)系統(tǒng),與其他網(wǎng)絡(luò)區(qū)分開,不論是在邏輯上還是在物理上,互聯(lián)網(wǎng)接入、生產(chǎn)數(shù)據(jù)庫、開發(fā)和中轉(zhuǎn)區(qū)、以及內(nèi)部應(yīng)用程序和組件創(chuàng)建了單獨(dú)的防火墻區(qū)域。
結(jié)論
盡管基于云的存儲(chǔ)為企業(yè)提供了許多優(yōu)勢,但是,在將寶貴的數(shù)據(jù)傳輸?shù)皆拼鎯?chǔ)提供商之前,有很多不能忽略的安全隱患。 值得慶幸的是,越來越多的安全廠商可以保證組織對(duì)云存儲(chǔ)進(jìn)行適當(dāng)?shù)脑L問控制。 只要企業(yè)事先做好準(zhǔn)備,并且確保很好地解決了上述問題,云存儲(chǔ)對(duì)企業(yè)來說,是一個(gè)很大的優(yōu)勢。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:如何實(shí)施和評(píng)估云存儲(chǔ)的訪問控制措施
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839515258.html