云存儲訪問控制措施實戰(zhàn)經(jīng)驗

責(zé)任編輯:一三

2014-03-06 08:50:02

摘自:TechTarget

不管是對于商業(yè)還是家庭用戶來說,云存儲正成為一種流行產(chǎn)品。

不管是對于商業(yè)還是家庭用戶來說,云存儲正成為一種流行產(chǎn)品。如亞馬遜S3、Box、Copiun和Thru等服務(wù)擁有功能豐富的產(chǎn)品,使用戶可以輕松地備份、同步和存儲文檔和文件。

盡管普通消費者在使用這類服務(wù)時,不需要有太多的顧慮,但是,在選擇云存儲服務(wù)時,從加密到數(shù)據(jù)生命周期管理,組織需要解決很多安全方面的問題。企業(yè)的新興領(lǐng)域關(guān)注于定義和控制訪問方法以及定義實現(xiàn)基于云存儲的控制 。

在本文中,我們將解釋為什么云存儲訪問控制是一個重要問題,以及在制定和實施云存儲訪問控制和架構(gòu)時,企業(yè)應(yīng)考慮哪些問題。 我們還將討論,在云提供商情境下,如何評估訪問控制。

云存儲訪問控制措施

無論是云提供商管理員還是企業(yè)用戶,管理訪問控制應(yīng)該是首要考慮的問題。 例如,Jacob Williams在2013年的Black Hat Europe會議上介紹關(guān)于Dropbox惡意軟件交付、指揮和控制問題,以及說明了自由訪問云存儲庫是危險的,可能會導(dǎo)致數(shù)據(jù)泄露。

在2012年,Mat Honan的icloud帳戶被劫持,在這次泄漏事件中,使用了社會工程技術(shù),并可能涉及鍵盤側(cè)錄。同時,由于該事件,許多以消費者為中心的例子,訪問控制問題仍然放在第一和中心的位置。限制哪些人可以訪問云存儲,如何訪問云存儲,以及從哪里訪問云存儲,在評估云存儲方案時,這些問題都應(yīng)該作為重點問題考慮。

•以下是企業(yè)在實施云存儲服務(wù)時,關(guān)于訪問控制機制,企業(yè)應(yīng)該關(guān)注的一系列問題:

•管理工具和其他管理應(yīng)用存儲的用戶密碼使用加密格式嗎? 如果使用了加密格式,是什么類型的?加密格式經(jīng)過定期測試嗎? 此外,存儲管理應(yīng)用程序允許的密碼長度、類型和持續(xù)時間的設(shè)定與執(zhí)行?

•云存儲基礎(chǔ)架構(gòu)支持什么類型的安全連接?支持一般的安全通信協(xié)議嗎?如SSLv3 、 TLS和SSH?

•活動用戶的會話是否超時? 如果沒有一個合理的超時時間,在空閑客戶端的端點,就會存在會話劫持的風(fēng)險,是相當(dāng)糟糕的。

管理工具支持多個管理員配置,來提供細(xì)粒度的安全水平? 管理應(yīng)用程序的訪問和配置云存儲應(yīng)該根據(jù)時間、日期和功能來配置選項,從而限制管理員的訪問。 所有管理員的操作應(yīng)該被記錄下來,用于審計和報警,并且這些記錄應(yīng)提供給企業(yè)的安全團隊。

云存儲管理應(yīng)用程序是否有能力定義細(xì)粒度角色和特權(quán)?為了保持適當(dāng)?shù)穆氊?zé)分離,以及執(zhí)行最少權(quán)限原則,這種能力應(yīng)該被認(rèn)為是強制性的。

除了這些關(guān)鍵問題,應(yīng)該仔細(xì)審查云存儲基礎(chǔ)架構(gòu)訪問方法的整體設(shè)計和架構(gòu)。 企業(yè)可以考慮的一種方法是“CloudCapsule,”是一種全新的云存儲訪問控制方法,由喬治亞理工大學(xué)信息安全中心(GTISC)在“ 2014年新興網(wǎng)絡(luò)威脅報告 ”中提出。 CloudCapsule利用本地安全虛擬機,用戶可以利用訪問云存儲,數(shù)據(jù)被發(fā)送之前會自動加密。 這樣的話,用戶的本地系統(tǒng)與云服務(wù)數(shù)據(jù)交換之間在一定程度上分離開,同時也使得發(fā)送到云環(huán)境中的任何數(shù)據(jù)都會自動加密。 繼GTISC開發(fā)的模型之后,目前很多組織要求所有的云存儲服務(wù),通過虛擬桌面基礎(chǔ)架構(gòu)的虛擬機,可以訪問,可以使用數(shù)據(jù)丟失防護(DLP)策略進行控制與掃描 。

與云存儲提供商直接對接的加密網(wǎng)關(guān),也越來越受歡迎。 例如,CipherCloud代理可以自動加密發(fā)送到Amazon的S3、RDS和EBS存儲服務(wù)的數(shù)據(jù),并且,可以自動加密發(fā)送到存儲提供商的數(shù)據(jù),如Box。 端點安全工具,如whitelisting和DLP代理也可以用來限制云存儲客戶端的安裝,并且,新的基于網(wǎng)絡(luò)的監(jiān)控工具,比如Skyhigh網(wǎng)絡(luò)公司可以監(jiān)控、控制云存儲服務(wù)的訪問。

提供商控制

我們已經(jīng)明確了組織如何審視云存儲訪問控制,但是,在云提供商環(huán)境內(nèi)部的訪問控制措施,也應(yīng)該進行仔細(xì)評估。 當(dāng)評估云存儲提供商時,注意一些已經(jīng)設(shè)置得當(dāng)?shù)脑L問控制和數(shù)據(jù)保護策略:

1.首先,管理用戶,特別是存儲管理員,在訪問存儲組件和內(nèi)部區(qū)域時,應(yīng)按規(guī)定,利用強大的身份驗證方法。

2.提供商存儲環(huán)境下,應(yīng)充分利用隔離和分割技術(shù),比如安全分區(qū),交換機和主機的結(jié)構(gòu)身份認(rèn)證,超過全球通用名或者iSCSI單獨限定名的值,以及單獨的交換機和整個結(jié)構(gòu)的安全管理。

3.云服務(wù)提供商也應(yīng)確保,每位客戶的服務(wù)系統(tǒng),與其他網(wǎng)絡(luò)區(qū)分開,不論是在邏輯上還是在物理上,互聯(lián)網(wǎng)接入、生產(chǎn)數(shù)據(jù)庫、開發(fā)和中轉(zhuǎn)區(qū)、以及內(nèi)部應(yīng)用程序和組件創(chuàng)建了單獨的防火墻區(qū)域。

結(jié)論

盡管基于云的存儲為企業(yè)提供了許多優(yōu)勢,但是,在將寶貴的數(shù)據(jù)傳輸?shù)皆拼鎯μ峁┥讨埃泻芏嗖荒芎雎缘陌踩[患。 值得慶幸的是,越來越多的安全廠商可以保證組織對云存儲進行適當(dāng)?shù)脑L問控制。 只要企業(yè)事先做好準(zhǔn)備,并且確保很好地解決了上述問題,云存儲對企業(yè)來說,是一個很大的優(yōu)勢。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號