云安全联盟CSA:七个致命安全风险

日期: 2010-05-06 来源:TechTarget中国 英文

  在RSA 2010大会上,云安全成为了众人关注的焦点,去年成立的云安全联盟CSA一直以来提倡保障云环境安全的最佳做法并对用户对云怎样确保计算安全的疑问进行教育。为此,CSA列出了7个最大的安全威胁,同时也是企业部署云技术时候最关心的问题。尽管只是7个问题,但是其中任何一个都可能导致安全风险、法律通知和诉讼问题的出现。以下就是这7个问题以及解决的办法。

  对云的不良使用

  IAAS(基础设施即服务)供应商对登记程序管理不严。“任何一个持有有效信用卡的人都可以注册并立即使用云服务。”CSA表示。通过这种不良的滥用,网络犯罪分子可以进行攻击或发送恶意软件。云供应商需要严格的首次注册和验证过程,并监督公共黑名单和客户网络活动。

  不安全的API

  通常的云服务的安全性和能力取决于API的安全性,用户用之管理和交互这些服务。这些接口的设计必须能够防御意外和恶意企图的政策规避行为,以确保强用户认证、加密和访问控制的有效。

  恶意的内部人员

  当缺乏对云供应商程序和流程的认识的时候,恶意内部人员的风险就会加剧。企业应该了解供应商的信息安全和管理政策,强迫其使用严格的供应链管理以及加强与供应商的紧密合作。同时,还应在法律合同中对工作要求有明确的指定说明,以规范他们处理你的数据等这些隐蔽的过程。

  共享技术的问题

  IAAS厂商用在基础设施中的基础组件并不能在多用户架构中提供强有力的隔离能力。供应商使用虚拟化来缩小这一差距,但是由于安全漏洞存在的可能性,企业应该监督那些未经授权的改动和行为,促进补丁管理和强用户认证的实行。

  数据丢失或泄漏

  降低数据泄漏的风险意味着实施强有力的API访问控制以及对传输过程的数据进行加密。CSA还建议,实施强有力的密钥生成、存储、管理和销毁的做法。

  帐户或服务劫持

  如果攻击者控制了你的证书,那么他们可以为所欲为,窃听你的活动、交易,将数据变为伪造的信息,将账户引到非法的网站。企业应该屏蔽用户和服务商之间对账户证书的共享,在需要的时候使用强大的双因素认证技术。

  未知的风险

  了解你的安全配置,无论是软件的版本、代码更新、安全做法、漏洞简介,入侵企图还是安全设计。看看谁在共享你的基础设施,尽快获取网络入侵日志和重定向企图中的相关信息。“隐藏安全问题不用花太多的精力,但是可以导致未知的风险。”CSA说。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐