云安全联盟CSA:云安全7个致命的安全风险
导读]在RSA 2010大会上,云安全成为了众人关注的焦点,去年成立的云安全联盟CSA一直以来提倡保障云环境安全的最佳做法并对用户对云怎样确保计算安全的疑问进行教育。为此,CSA列出了7个最大的安全威胁。在RSA 2010大会上,云安全成为了众人关注的焦点,去年成立的云安全联盟CSA一直以来提倡保障云环境安全的最佳做法并对用户对云怎样确保计算安全的疑问进行教育。为此,CSA列出了7个最大的安全威胁,同时也是企业部署云技术时候最关心的问题。尽管只是7个问题,但是其中任何一个都可能导致安全风险、法律通知和诉讼问题的出现。以下就是这7个问题以及解决的办法。
对云的不良使用
IAAS(基础设施即服务)供应商对登记程序管理不严。“任何一个持有有效信用卡的人都可以注册并立即使用云服务。”CSA表示。通过这种不良的滥用,网络犯罪分子可以进行攻击或发送恶意软件。云供应商需要严格的首次注册和验证过程,并监督公共黑名单和客户网络活动。
不安全的API
通常的云服务的安全性和能力取决于API的安全性,用户用之管理和交互这些服务。这些接口的设计必须能够防御意外和恶意企图的政策规避行为,以确保强用户认证、加密和访问控制的有效。
恶意的内部人员
当缺乏对云供应商程序和流程的认识的时候,恶意内部人员的风险就会加剧。企业应该了解供应商的信息安全和管理政策,强迫其使用严格的供应链管理以及加强与供应商的紧密合作。同时,还应在法律合同中对工作要求有明确的指定说明,以规范他们处理你的数据等这些隐蔽的过程。
共享技术的问题
IAAS厂商用在基础设施中的基础组件并不能在多用户架构中提供强有力的隔离能力。供应商使用虚拟化来缩小这一差距,但是由于安全漏洞存在的可能性,企业应该监督那些未经授权的改动和行为,促进补丁管理和强用户认证的实行。
数据丢失或泄漏
降低数据泄漏的风险意味着实施强有力的API访问控制以及对传输过程的数据进行加密。CSA还建议,实施强有力的密钥生成、存储、管理和销毁的做法。
帐户或服务劫持
如果攻击者控制了你的证书,那么他们可以为所欲为,窃听你的活动、交易,将数据变为伪造的信息,将账户引到非法的网站。企业应该屏蔽用户和服务商之间对账户证书的共享,在需要的时候使用强大的双因素认证技术。
未知的风险
了解你的安全配置,无论是软件的版本、代码更新、安全做法、漏洞简介,入侵企图还是安全设计。看看谁在共享你的基础设施,尽快获取网络入侵日志和重定向企图中的相关信息。“隐藏安全问题不用花太多的精力,但是可以导致未知的风险。”CSA说。