在云時代下,隨著云存儲技術(shù)的廣泛應(yīng)用,盡管普通消費(fèi)者在使用這類服務(wù)時,不需要有太多的顧慮,但是,在選擇云存儲服務(wù)時,從加密到數(shù)據(jù)生命周期管理,組織需要解決很多安全方面的問題。企業(yè)的新興領(lǐng)域關(guān)注于定義和控制訪問方法以及定義實(shí)現(xiàn)基于云存儲的控制。
在本文中,我們將解釋為什么云存儲訪問控制是一個重要問題,以及在制定和實(shí)施云存儲訪問控制和架構(gòu)時,企業(yè)應(yīng)考慮哪些問題。我們還將討論,在云提供商情境下,如何評估訪問控制。
云存儲訪問控制措施
無論是云提供商管理員還是企業(yè)用戶,管理訪問控制應(yīng)該是首要考慮的問題。 例如,Jacob Williams在2013年的Black Hat Europe會議上介紹關(guān)于Dropbox惡意軟件交付、指揮和控制問題,以及說明了自由訪問云存儲庫是危險(xiǎn)的,可能會導(dǎo)致數(shù)據(jù)泄露。
在2012年,Mat Honan的icloud帳戶被劫持,在這次泄漏事件中,使用了社會工程技術(shù),并可能涉及鍵盤側(cè)錄。同時,由于該事件,許多以消費(fèi)者為中心的例子,訪問控制問題仍然放在第一和中心的位置。限制哪些人可以訪問云存儲,如何訪問云存儲,以及從哪里訪問云存儲,在評估云存儲方案時,這些問題都應(yīng)該作為重點(diǎn)問題考慮。
以下是企業(yè)在實(shí)施云存儲服務(wù)時,關(guān)于訪問控制機(jī)制,企業(yè)應(yīng)該關(guān)注的一系列問題:
管理工具和其他管理應(yīng)用存儲的用戶密碼使用加密格式嗎? 如果使用了加密格式,是什么類型的?加密格式經(jīng)過定期測試嗎? 此外,存儲管理應(yīng)用程序允許的密碼長度、類型和持續(xù)時間的設(shè)定與執(zhí)行?
云存儲基礎(chǔ)架構(gòu)支持什么類型的安全連接?支持一般的安全通信協(xié)議嗎?如SSLv3、TLS和SSH?
活動用戶的會話是否超時? 如果沒有一個合理的超時時間,在空閑客戶端的端點(diǎn),就會存在會話劫持的風(fēng)險(xiǎn),是相當(dāng)糟糕的。
管理工具支持多個管理員配置,來提供細(xì)粒度的安全水平? 管理應(yīng)用程序的訪問和配置云存儲應(yīng)該根據(jù)時間、日期和功能來配置選項(xiàng),從而限制管理員的訪問。 所有管理員的操作應(yīng)該被記錄下來,用于審計(jì)和報(bào)警,并且這些記錄應(yīng)提供給企業(yè)的安全團(tuán)隊(duì)。
云存儲管理應(yīng)用程序是否有能力定義細(xì)粒度角色和特權(quán)?為了保持適當(dāng)?shù)穆氊?zé)分離,以及執(zhí)行最少權(quán)限原則,這種能力應(yīng)該被認(rèn)為是強(qiáng)制性的。
除了這些關(guān)鍵問題,應(yīng)該仔細(xì)審查云存儲基礎(chǔ)架構(gòu)訪問方法的整體設(shè)計(jì)和架構(gòu)。 企業(yè)可以考慮的一種方法是“CloudCapsule,”是一種全新的云存儲訪問控制方法,由喬治亞理工大學(xué)信息安全中心(GTISC)在“2014年新興網(wǎng)絡(luò)威脅報(bào)告 ”中提出。CloudCapsule利用本地安全虛擬機(jī),用戶可以利用訪問云存儲,數(shù)據(jù)被發(fā)送之前會自動加密。 這樣的話,用戶的本地系統(tǒng)與云服務(wù)數(shù)據(jù)交換之間在一定程度上分離開,同時也使得發(fā)送到云環(huán)境中的任何數(shù)據(jù)都會自動加密。 繼GTISC開發(fā)的模型之后,目前很多組織要求所有的云存儲服務(wù),通過虛擬桌面基礎(chǔ)架構(gòu)的虛擬機(jī),可以訪問,可以使用數(shù)據(jù)丟失防護(hù)(DLP)策略進(jìn)行控制與掃描.
與云存儲提供商直接對接的加密網(wǎng)關(guān),也越來越受歡迎。 例如,CipherCloud代理可以自動加密發(fā)送到Amazon的S3、RDS和EBS存儲服務(wù)的數(shù)據(jù),并且,可以自動加密發(fā)送到存儲提供商的數(shù)據(jù),如Box. 端點(diǎn)安全工具,如whitelisting和DLP代理也可以用來限制云存儲客戶端的安裝,并且,新的基于網(wǎng)絡(luò)的監(jiān)控工具,比如Skyhigh網(wǎng)絡(luò)公司可以監(jiān)控、控制云存儲服務(wù)的訪問。
提供商控制
我們已經(jīng)明確了組織如何審視云存儲訪問控制,但是,在云提供商環(huán)境內(nèi)部的訪問控制措施,也應(yīng)該進(jìn)行仔細(xì)評估。 當(dāng)評估云存儲提供商時,注意一些已經(jīng)設(shè)置得當(dāng)?shù)脑L問控制和數(shù)據(jù)保護(hù)策略:
1、首先,管理用戶,特別是存儲管理員,在訪問存儲組件和內(nèi)部區(qū)域時,應(yīng)按規(guī)定,利用強(qiáng)大的身份驗(yàn)證方法。
2、提供商存儲環(huán)境下,應(yīng)充分利用隔離和分割技術(shù),比如安全分區(qū),交換機(jī)和主機(jī)的結(jié)構(gòu)身份認(rèn)證,超過全球通用名或者iSCSI單獨(dú)限定名的值,以及單獨(dú)的交換機(jī)和整個結(jié)構(gòu)的安全管理。
3、云服務(wù)提供商也應(yīng)確保,每位客戶的服務(wù)系統(tǒng),與其他網(wǎng)絡(luò)區(qū)分開,不論是在邏輯上還是在物理上,互聯(lián)網(wǎng)接入、生產(chǎn)數(shù)據(jù)庫、開發(fā)和中轉(zhuǎn)區(qū)、以及內(nèi)部應(yīng)用程序和組件創(chuàng)建了單獨(dú)的防火墻區(qū)域。
D1Net評論:
任何技術(shù)都具有兩面性,云存儲技術(shù)也同樣如此,雖然基于云的存儲為企業(yè)提供了許多優(yōu)勢,但是,在將寶貴的數(shù)據(jù)傳輸?shù)皆拼鎯μ峁┥讨埃泻芏嗖荒芎雎缘陌踩[患。值得慶幸的是,越來越多的安全廠商可以保證組織對云存儲進(jìn)行適當(dāng)?shù)脑L問控制。只要企業(yè)事先做好準(zhǔn)備,并且確保很好地解決了上述問題,云存儲對企業(yè)來說,是一個很大的優(yōu)勢,但是,如果處理不當(dāng),后果不堪設(shè)想。