安全及数据保护上的顾虑已成为云计算服务普及化的绊脚石,尤其是关于资料保密性、完整性及法规遵循合规性,还有营业保密数据保护等顾虑。对于数据存取缺乏控制或不易取用的数据顾虑,也是造成企业及政府不敢贸然采用云方案的主要原因。云安全联盟( Cloud Security Alliance ,CSA)定义出七个云计算的主要风险:
因为企业及政府对于是否导人云计算,会受限于对风险的考虑,因此在规划导人云技术及云外包服务前,必须先从相关风险是否可被管控的角度来考虑。安全上的需求根据使用的情境而有所不同(SaaSPaaS混合及社区云等服务)。这些都在大量的研究报告及指南(如 KOM、EuroCloud、ENISA、云安全联盟 CSA) 中会有所解释。
云计算用户应采用以下 7 个主要防范措施,来预防或降低安全上的风险。
在云环境中制作或转移数据时,用户必须将数据分类(如:分成一般数据、高度或极高度安全层级数据等) ,分析其安全需求,并定义云服务商应如何存储或传递那些数据,其中也包括使用加密处理程序或在获得某些特定数据上采用比较复杂的权限设计。此外,数据安全等级的分类和定义,应依据云服务商所定的安全标准来进行。
存储的数据以不同算法(如先进加密标准 AES) 及密钥长度(如 256位大小)做加密。 基本上,越强的加密程序代表数据保护越安全。加密的等级必须走时地测试与改进,才能确保数据安全的需要。
虽然加密具有很多优点,但云服务的用户仍需负责密钥的管理。如果密钥遗失,就会失去加密的资料。如果密钥遭受损坏,数据安全上的保护也会随之发生问题。 客户必须衡量密钥管理的选择并采取必要措施以降低危险。此外,处理中数据的加密形式仍是有待解决的问题。这一问题因同态加密技术的演进而有所进展。目前最明确、可行的方案就是在处理数据前,先对数据加密。
除了安全的、隔离的数据存储空间外,在云环境以及多个云数据中心之间安全地传递客户数据也很重要。例如,经由SSH、互联阿通信协议安全 (IPSec) 、安全传输层级 / 安全套接层协议(1LS/SSL) 、虚拟专用网等通信管道。
处理数据时,特别重要的是监控与记录所有的数据存取和其他相关活动,因此需要监控存储服务及云应用程序的执行过程,以识别是否遭到攻击。举例来说,在不寻常的时间或从不寻常的地点存取数据,都有可能遭到攻击。此外,可移植性及互操作性的特色,对于降低被单一提供商锁定的风险来说也很重要。
因此,用户与云服务商在协议合同的解除条款时,应明确界定依循标准格式,同时保留正常的逻辑关系。同时,云服务商应尽可能支持不同的标准,如开放性虚拟化格式( OVF) 、vCloudAPI,开放云计算接口 (occI) ,以便确保跨平台间的互操作性。
不只是数据本身,也需保护获取云服务或个别应用程序的凭证。 存取凭证必须加密后再传递并定期轮换。定期轮换可减少凭证受损风险且增加访问权限管理的安全性(例如当员工离开公司后,访问权限没有删除 )。
一般来说,强大的验证(如双重验证)比简单验证方式(用户名及密码 )来得好。对云方案及常见的 IT 本地部署来说,访问权限应以”知其所需”原则( need-to-know )为基础来进行授予,并定期检查这些角色及权限。
最佳密钥管理做法应采用下列规则:管理者不能接触密钥,不可以明文发布密钥信息,不同的人进行密钥管理时应有不同的身份验证,提供安全防御措施保护暂存密钥以及安全的密钥存档及复制的机制。
此外,云服务商必须确保其员工不会滥用权限,并对客户数据保密。只给予云服务商的用户及管理者工作上所需要的权限(最低权限原则) ,在进行重要管理活动时,必须合乎双重管控原则。
在数据备份时也须采取将客户数据做逻辑以及实体上的隔离,并加密处理。 另外,在备份数据的搜索及获取上必须提供异常处理执行程序以确保合于法规,例如取证的规定。客户也应主动采取这些措施,才能共同确保电子文件的安全。
以上就是关于“云计算的主要风险及防范建议”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm