CobiNet(寧波)推薦文章:
公共云服務解決方案仍(reng)然還將繼續保持其強勁的(de)增長勢頭,因(yin)為他們(men)可以快速的(de)實(shi)現部署實(shi)施,有比私有云更低的(de)成本,而(er)且(qie)僅(jin)(jin)僅(jin)(jin)只需(xu)企業(ye)組織的(de)IT工(gong)作(zuo)人(ren)員提供最少的(de)支持。然而(er),無論任何時候,只要是多(duo)個客戶共享一個資(zi)源,包括(kuo)諸如一項服務、硬(ying)件、或數(shu)據(ju)存儲都總是存在(zai)風險的(de)。而(er)在(zai)本文(wen)中,我們(men)將為廣大(da)讀(du)者朋友們(men)介(jie)紹(shao)關于(yu)在(zai)多(duo)租戶環境下保護您企業(ye)的(de)數(shu)據(ju)和工(gong�������)作(zuo)流程的(de)可操作(zuo)的(de)�����技巧。
根據一(yi)(yi)家領先的(de)(de)(de)(de)安(an)(an)全(quan)產業(ye)集(ji)團云(yun)安(an)(an)全(quan)聯盟所發表的(de)(de)(de)(de)一(yi)(yi)份(fen)白皮書(shu)介紹說(shuo)(shuo),云(yun)服務供應(ying)商和他(ta)(ta)們的(de)(de)(de)(de)企業(ye)客(ke)戶必須采(cai)取相(xiang)應(ying)的(de)(de)(de)(de)措施,以確保攻(gong)入某一(yi)(yi)個客(ke)戶環境中的(de)(de)(de)(de)攻(gong)擊者不能危害到其(qi)他(ta)(ta)另(ling)一(yi)(yi)家的(de)(de)(de)(de)企業(ye)客(ke)戶。而根據這份(fen)題(ti)為《2016年度(du)十二(er)大(da)最主要的(de)(de)(de)(de)云(yun)計算安(an)(an)全(quan)威脅》報告指出,企業(ye)組織的(de)(de)(de)(de)安(an)(an)全(quan)管理(li)人員們還必須承諾提供一(yi)(yi)套強大(da)的(de)(de)(de)(de)整(zheng)體性的(de)(de)(de)(de)安(an)(an)全(quan)方案。 哪怕是一(yi)(y�������i)個小小的(de)(de)(de)(de)單一(yi)(yi)的(de)(de)(de)(de)安(an)(an)全(quan)漏洞或是一(yi)(yi)項錯(cuo)誤的(de)(de)(de)(de)配置,均有可(ke)能會導(dao)致整(zheng)個云(yun)服務供應(ying)商所托管的(de)(de)(de)(de)所有客(ke)戶的(de)(de)(de)(de)全(quan)軍覆沒(mei)。 該份(fen)白皮書(shu)報告說(shuo)(shuo)。
自從其(qi)于2010年發表(biao)其(qi)第一(yi)份云(yun)安(an)全(quan)清單以來,共享(xiang)技術(shu) 無論其(qi)是一(yi)款虛擬機�������管理程序、應用程序(SaaS)、基礎設施(IaaS)、或平臺(tai)(PaaS)都一(yi)直(zhi)是云(yun)安(an)全(quan)聯盟(meng)(CSA)最為(wei)關(guan)心的問題。
一(yi)個(ge)整(zheng)體(ti)的(de)(de)共享技術陷(xian)入風險,諸如虛擬(ni)機管理程序(xu)、一(yi)個(ge)共享的(de)(de)平臺(tai)組件、或在(zai)一(yi)個(ge)SaaS環(huan)境下(xia)的(de)(de)應用程序(xu)被暴露(lu)在(zai)風險之中,就不僅僅會危(wei)(wei)害其(qi)顧客;相反,其(qi)暴露(lu)了整(zheng)個(ge)環(huan)境陷(xian)�����入危(wei)(wei)險和被破壞的(de)(de)可能性(xing)。這樣(yang)的(de)(de)安(an)全漏洞是(shi)相當(dang)危(wei)(wei)險的(de)(de),因為其(qi)有可能會立即(ji)(ji)影(ying)響(xiang)到整(zheng)個(ge)云(yun)計算。 這份白皮(pi)書解釋說。即(ji)(ji)使������已(yi)經采取了一(yi)切的(de)(de)預防措施,企業組織仍然不應該(gai)讓其(qi)高度敏感的(de)(de)工作負荷依賴(lai)于共享的(de)(de)技術。綜合考慮(lv)各(ge)種(zhong)云(yun)服務(wu)模式(shi)的(de)(de)部署
云技(ji)術(shu)是通(tong)過互(hu)聯網訪問簡單的應(ying)用(yong)程序、基礎設施和平臺。下面,就(jiu)讓(rang)我們(men)來������分析考慮(lv)一(yi)下頂級的云部署模型吧:
無論任(ren)何(he)時候,只要(yao)是多個(ge)客(ke)戶共享(xiang)一(yi)個(ge)資源(yuan),包括諸如一(yi)項服務(wu)、硬件、或(huo)數(shu)據存儲都(dou)總是存在風險的。然而,公共云服務(wu)解(jie)決方案(an)仍然將繼續保�������(bao)持(chi)其強勁的增(zeng)長勢頭,因為他們可以快速(su)的實(shi)現部(bu)署(shu)實(shi)施,有�������比私有云更低(di)的成本,而且(qie)僅(jin)僅(jin)只需企業組織的IT工作(zuo)人員提供(gong)最少的支持(chi)。
為(wei)了確定(ding)(ding)適(shi)合(he)一家企(qi)業組織的(de)最佳(jia)部署云(yun)(yun)模型(xing),其安全(quan)(quan)管理(li)人員(yuan)們首(shou)先應該檢查項目預算、企(qi)業數據(ju)庫(ku)的(de)類(lei)型(xing)、為(wei)每種數據(ju)類(lei)型(xing)定(di����ng)(ding)義其安全(quan)(quan)需(xu)求、比(bi)較(jiao)可行的(de)解決方案(an)的(de)安全(quan)(quan)性。而(er)在(zai)確定(ding)(ding)了哪(na)些(xie)類(lei)型(xing)的(de)數據(ju)信息可以被適(shi)當地存儲在(zai)公共云(yun)(yun)服務(wu)后,管理(li)員(yuan)們將需(xu)要確定(ding)(ding)服務(wu)供應商是(shi)否(fou)能夠������在(zai)一款公有云(yun)(yun)服務(wu)內為(wei)客戶(hu)的(de)數據(ju)和系統(tong)提供充分的(de)隔(ge)離(li)。
隔離客戶的(de)數據和(he)系統
一(yi�����)家云服務(wu)提供(gong)商必須(xu)在(zai)(zai)基礎設施層面(mian)仔細的(de)(de)為每一(yi)家企業(ye)客戶的(de)(de)數據(ju)和(he)系統(tong)進行有(you)效的(de)(de)隔離(li)。在(zai)(zai)多租戶����環境中(zhong),云服務(wu)提供(gong)商必須(xu)確保攻擊者無法越過一(yi)款(kuan)操作系統(tong)的(de)(de)一(yi)個實(shi)例(li),在(zai)(zai)服務(wu)器上獲得管理員級別的(de)(de)權限,并在(zai)(zai)該(gai)服務(wu)器上訪問其他另(ling)一(yi)個客戶的(de)(de)實(shi)例(li)。
因為大多(duo)數這些弱點(dian)都被限制在一個(ge)特定的(de)(de)(de)(de)平臺或(huo)非默認(ren)的(de)(de)(de)(de)配置中(zhong),故而多(duo)租戶的(de)(de)(de)(de)漏洞(dong)通常(chang)的(de)(de)(de)(de)覆(fu)蓋范圍是有限的(de)(de)(de)(de)。然而,在2015年,一位來(lai)自安(an)全技術公(gong)(gong)司CrowdStrike的(d������e)(de)(de)(de)研究人員發(fa)現了一個(ge)有著更(geng)(geng)廣泛(fan)影響(xiang)的(de)(de������)(de)(de)漏洞(dong)。該(gai)(gai) 毒液(ye)(VENOM) 漏洞(dong)影響(xiang)了全球數百萬虛擬化平臺的(de)(de)(de)(de)默認(ren)配置,并(bing)允許攻擊者使用root級別的(de)(de)(de)(de)特權(quan)在受(shou)害(hai)者的(de)(de)(de)(de)虛擬機(ji)管理程(cheng)序或(huo)虛擬機(ji)實例上執行代碼(ma)。 除(chu)了能(neng)夠訪問敏感的(de)(de)(de)(de)和(he)個(ge)人身份信(xin)息,該(gai)(gai)毒液(ye)漏洞(dong)還可以(yi)用來(lai)公(gong)(gong)開訪問企業組織的(de)(de)(de)(de)知識(shi)產權(quan)。 CrowdStrike 公(gong)(gong)司在報告中(zhong)稱。該(gai)(gai)bug通過(guo)一個(ge)軟件更(geng)(geng)新被打了補(bu)丁。
據推測,大(da)約(yue)有數(shu)千家(jia)使用受影響的技(ji)術(shu)的企業組織成(cheng)為(wei)了受害������者(zhe),但沒有任何一家(jia)公開披露了該事故(gu)。企業組織經常都������是靜悄悄地處理(li)了他們(men)的數(shu)據泄露事件,以保(bao)(bao)護他們(men)的聲譽和保(bao)(bao)留客戶的信(xin)任。
在(zai)多租戶(hu)(hu)環境中(zhong)的攻擊可(ke)(ke)能是(shi)從某個(ge)客戶(hu)(hu)環境開始的,如像(xiang)毒液漏(lou)洞這(zhe)種(zhong),或者可(ke)(ke)能是(shi)集(ji)中(zhong)在(zai)最初原本不是(shi)為強劃(hu�����a)分(fen)設計的共(gong)享元素。這(zhe)些包(bao)括磁盤分(fen)區,GPU和CPU緩存。
建議:專(zhuan)注于(yu)邏輯隔離(li)
開源Web應用程序安(an)全(quan)項(xiang)目(OWASP)在其(qi)自己的十大(da)云安(an)全(quan)風險中指出:共享技術和(he)多租戶環境的安(an)全(quan)性應該主要集中在客戶環境的邏�����輯隔離上。例(li)如,安(an)全(quan)管(guan)理人員(yua��������n)應該:
確定企業(ye)數(shu)據是否與(yu)來自(zi)其他企業(ye)客(ke)戶的(de)數(shu)據或數(shu)據備份(fen)夾雜在一起,這會使得很�������難或無法妥(tuo)善(shan)的(de)進(jin)行數(shu)據的(de)存檔或銷毀。
要求(qiu)供(gong)應商確保托管(guan)在同一物理服(fu)務(wu)器上的所有客戶(hu)保持類(lei)似的安全(quan)態勢,使(shi)得攻擊者無法通過較弱����的企業客戶(hu)的云服(fu)務(wu)進入,并泄漏到更������安全(quan)的企業客戶(hu)的云。
建(jian)議:執行(xing)安全(quan)審計
OWASP建(jian)議,企(qi)(qi)(qi)業組織的安(an)(an)(an)全(quan)管(guan)(guan)理人員們必須對(dui)其(qi)云環境的安(an)(an)(an)全(quan)進行安(an)(an)(an)全(quan)審(shen)(shen)計(ji)或評估,部分的涉及到對(dui)于(yu)所(suo)有層(操作系統、網絡、應(ying)用程序、數(shu)據庫)的訪(fang)問(wen)管(guan)(guan)理權限。審(shen)(shen)計(ji)工作還應(ying)該(gai)包括對(dui)于(yu)架構(gou)、數(shu)據加密和(he)變更管(guan)(guan)理的審(shen)(shen)查。如果(guo)云服務提供商不(bu)允(yun)許企�����(qi)(qi)(qi)業客戶(hu)進行安(an)(an)(an)全(quan)審(shen)(shen)計(ji),那么,OWASP建(jian)議企(qi)(qi)(qi)業客戶(hu)應(ying)該(gai)要求(qiu)由獨立的第(di)三方(fang)來進行安(an)(an)(an)全(quan)測試(shi)。
該安(an)全(quan)審(shen)計將有(you)(you)助于幫助企(qi)業(ye)(ye)用戶確定(ding)其云(yun)服(fu)務提供(gong)商是(shi)否(fou)是(shi)遵循(xun)了(le)業(ye)(ye)界的(de)(de)(de)最佳(jia)實踐方案,如是(shi)否(fou)對于操作系(xi)統(tong)和應(ying)(ying)用程(cheng)序(xu)及時(shi)打補丁和更(geng)新(xin)。而一項安(an)全(quan)審(shen)計或(huo)許還能(neng)夠揭(jie)示某(mou)些令人奇怪的(de)(de)(de)云(yun)服(fu)務提供(gong)商有(you)(you)控制權限,而企(qi)業(ye)(ye)客(ke)戶卻沒有(you)(you)的(de)(de)(de)領域。例如,許多(duo)流(liu)行的(de)(de)(de)云(yun)服(fu)務提供(gong)商提供(gong)了(le)最先(xian)進的(de)(de)(de)備份(fen)和災難恢(hui)復(fu)選(xuan)項。此外,許多(duo)云(yun)服(fu)務提供(gong)商提出發生服(fu)務故(gu)障中(zhong)(zhong)斷會部分的(de)(de)(de)退款,來擔保其正(zheng)常運行時(shi)間。即使(shi)沒有(you)(you)進行正(zheng)式的(de)(de)(de)安����(an)全(quan)審(shen)核,許多(duo)企(qi)業(ye)(ye)客(ke)戶也需要(yao)云(yun)服(fu)務供(gong)應(ying)(ying)商在采購過(guo)程(cheng)中(zhong)(zhong)完成全(quan)面的(de)(de)(de)安(an)全(quan)和隱私調(diao)查(cha)問卷。
通過對云(yun)服務(wu)(wu)提供商實施問責,企(qi)業(ye)(ye)客戶的(de)安全管(guan)理人員們可(ke)以有效(xiao)的(de)管(guan)理那些有人可(ke)能會(hui)干(gan)擾其云(yun)服務(wu)(wu)或網絡運營的(de)風(feng)險。而為了(le)進一(yi)步保護企(qi)業(ye)(ye)的(de)系(xi)統,企(qi)業(ye)(ye)客戶應遵循(xun)一(yi)系(xi)列的(de)安全最(zui)佳實踐方案,以保護云(y�������un)服務(wu)(wu)和現(xian)場數(shu)據信息。
確(que)保一個(ge)多租戶環(huan)境的安全
必(bi)(bi)須對(dui)多租(zu)戶(hu)(hu)環境進行(xing)設計,開��������(kai)發,部(bu)署和配(pei)置,以確保用戶(hu)(hu)的訪問是經由服務供應(ying)商和企業客戶(��������hu)(hu)進行(xing)了(le)適當的分(fen)割的,進而能夠與(yu)其他(ta)租(zu)戶(hu)(hu)隔(ge)離(li)開(kai)來,根據CSA推薦(jian)。企業客戶(hu)(hu)的關鍵業務資產和敏感(gan)的用戶(hu)(hu)數據必(bi)(bi)須被隔(ge)離(li),相關的會話也必(bi)(bi)須妥善(shan)管(guan)理。
在這(zhe)份(fen)《������2016年度十(shi)二大最主(zhu)要(yao)的云計算安全威(wei)脅》�������白皮書中,CSA建議企業客戶不妨(fang)使用下列(lie)最佳實踐方案(an):
基于角色的最小訪(fang)問(wen)需求限(xian)制用戶訪(fang)問(wen)
在所(suo)有主機上使用多因素認證
實施基于(yu)主機的(de)入侵(qin)檢(jian)測系統(HIDS)
使用基于網(wang)絡的入侵檢測系統(NIDS)
建立優秀的企業網絡分(fen)割
要(yao)求�����供應商(shang)或(huo)服務商(shang)為變更管(guan)理(li)流程(cheng)(cheng)強制執行指定的服務水(shui)平(ping)協議,發布修補(bu)程(cheng)(cheng)序和(he)配置(zhi)變化
OWASP指出,企業客(ke)戶應(ying)(ying)(ying)該(gai)要(yao)求強大(da)的加(jia)密和(he)客(ke)戶自有的加(jia)密密鑰(yao)管理。換言之,云服務(wu)供(gong)應(ying)(ying)(ying)商(shang)不應(ying)(ying)(ying)該(gai)擁(yong)有對于加(jia)密密鑰(yao)的管理。此外,CSA建(jian)議在其控制文件(jian)中,服務(wu)供(gong)應(ying)(ying)(ying)商(shang)和�����(he)企業客(ke)戶應(ying)(ying)(ying)該(gai)建(jian)立起(qi)相應(ying)(ying)(ying)的政策(ce)和(he)程序:
為數(shu)據和數(shu)據容器進行標記、處理和加(jia)強(qiang)安全
使用加密協(xie)議來保護存儲的(de)敏(min)感數據和傳輸中的(de)數據
管(guan)理(li)用戶(hu)訪(fang)問(wen),以確保適當(dang)的(de)身份(fen)、授權和(he)訪(fa�������ng)問(wen)管(guan)理(li)。重(zhong)點領域應包(bao)括帳戶(hu)設置、訪(fang)問(wen)分割、身份(fen)信任驗證、帳戶(hu)憑據的(de)生(sheng)命周期管(guan�������)理(li)、認(ren)證、授權,計費(fei)和(he)多(duo)租戶(hu)的(de)標(biao)準(zhun)。
維護、保留和管(guan)理審計日(ri)志的生命周期
監控(kong)用戶的(de)(de)訪問,以檢測潛在的(de)(de)可疑(yi)網絡行為或(huo)文檔的(de)(de)完整性異(yi)常,并支(zhi)持�������對于安全(quan)漏洞事件的(de)(de)調查
通過諸(zhu)如脆弱(ruo)性(xing)評估和滲透測試(shi)等(deng)措施,及時檢測應(ying)用程序(xu����)、網���������絡和系(xi)統組件的安全(quan)漏(lou)洞
正式的(de)變更(geng)管(guan)理包括供應(ying)商提(ti)供的(de)補�������丁(ding),配(pei)置(zhi)的(de)變化或(huo)企業組織內部開發軟件(jian)的(de)變化
一般的安全控(kong)制有助于安全共(gong)享技術
云(yun)服務面臨著許多與(yu)傳統的(de)現場(chang)技術相同的(de)安全威脅。這些安全威脅包(bao)括網(wang)絡釣(diao)魚、攻(gong)擊者所設計的(de)假扮(ban)為受信任一方(fang),以(yi)吸引企(qi)業(ye)用戶打開一個(ge)惡(e)意(yi)網(wang)站或(huo)附(fu)件的(de)計劃。一個(ge)惡(e)意(yi)的(de)鏈接或(huo)附(fu)件在用戶自(zi)己的(de)電腦(nao)上打開,而(er)不(bu)是在云(yun)�������應用程序中打開,這樣就會使得整個(ge)企(qi)業(ye)網(wang)絡處于安全風險之(zhi)中。
因(yin)此,一些對(dui)于多(duo)租(zu)戶(hu)的(de)(de)建議不僅僅是與多(duo)租(zu)戶(hu)環境相關的(de)(de)。例(li)如(ru),一旦某(mou)個攻擊(ji)者進入了企業網絡內部,某(mou)些實踐(jian)方案,如(ru)網絡分段就(jiu)能夠通過阻礙攻擊(ji)者在(zai)企�������業網絡的(de)(de)移動改善企業組織的(de)(de)整體(ti)安全�����狀(zhuang)況。
為(wei)高(gao)度(du)敏感的工作流程考慮采(cai)用私有云
安全研(yan)究人員警告(gao)說,公有(you)云服(fu)務并不(bu)適合(he)企(qi)業(ye)組織的(de)那些(xie)高度敏感的(de)數據和工作流程,即使已(yi)經遵循了所(suo)有(you)的(de)最佳實踐方案。對(dui)于這些(xie)情況,安全研(yan)究員丹 卡明(ming)斯(si)基推(tui)������薦(jian)企(qi)業(ye)可以(yi)采用(yong)一款私(si)有(you)云。 如(ru)果您(nin)企(qi)業(ye)會(hui)有(you)這樣一種能(neng)夠(gou)從別的(de)企(qi)業(ye)服(fu)務器跳到您(nin)企(qi)業(ye)服(fu)務器的(de)bug的(de)話(hua),避免(mian)(mian)的(de)最好方式便是不(bu)要讓(rang)其他(ta)人能(neng)夠(gou)在(zai)你的(de)服(fu)務器上(shang)。 卡明(ming)斯(si)基說。 這樣做的(de)成本(ben)會(hui)更高,但(dan)您(nin)基本(ben)上(shang)避免(mian)(mian)了被惡意攻(gong)擊的(de)風險。
結論
為了更(geng)好地保(bao)(bao)護您(nin)企業(ye)組(zu)織的(de)(de)數(shu�����)據和(h���������e)工作流程,安(an)全管理人員(yuan)們必須權衡每種(zhong)類型的(de)(de)數(shu)據權衡安(an)全需求,以及各種(zhong)不同的(de)(de)部署模型和(he)解決方案的(de)(de)安(an)全保(bao)(bao)護功能,同時認識到(dao)即使是(shi)最安(an)全的(de)(de)技術也會(hui)伴隨(sui)著相應(ying)的(de)(de)安(an)全風(feng)險。如下是(shi)幾點值得借(jie)鑒的(de)(de):
云(yun)服務提供商(shang�������)和企業安(an)全管理人員應確(que)保在基礎設(she)施(shi)層面客(ke)戶的數(shu)據和系統是被隔(ge)離的。
企業客戶的(de)安(an)(an)全(quan�����)管理人員應(ying)(yin�����g)該(gai)要求對云(yun)服務(wu)供(gong)應(ying)(ying)商的(de)安(an)(an)全(quan)進(jin)行(xing)審計;或在(zai)選擇供(gong)應(ying)(ying)商的(de)過程中要求云(yun)服務(wu)供(gong)應(ying)(ying)商提供(gong)完整的(de)安(an)(an)全(quan)和隱(yin)私問卷或將該(gai)問卷作為定期合同審查的(de)一部分(fen)。
無論是(shi)云(yun)服務供應商還(huan)是(shi)企業(ye)客戶都(do����u)必須制定并嚴格遵(zun)守(shou)全(quan)面的(de)安(an)全(quan)管理政策和(he)程序(xu)。因為云(yun)服務是(shi)從用戶的(de)企業(ye)筆記(ji)本電腦或機器上使(shi)用的(de),那些提高了企業(ye)的(de)總體安(an)全(quan)狀況的(de)安(an)全(quan)解決方案將有助于保(bao)護其避免額外的(de)云(yun)安(an)全(quan)風險。
對于高度(du)敏感的工作流程(ch����eng),一(yi)(������yi)款私有云服務將在一(yi)(yi)臺專(zhuan)用(yong)的服務器上為(wei)一(yi)(yi)家單獨的企業用(yong)戶(hu)提供服務,其將會(hui)是比一(yi)(yi)款公共云或混合云更為(wei)安全的選擇。
企業(ye)客戶的(de)(de)安全管理人(ren)員可(ke)以通過了解風(feng)險,并選擇最佳的(de)(de)安全解決方案,以實現(xian)項目(mu)目(mu)���標,安全地為企業(ye)重要的(de)(de)業(ye)務提供解決方案。
����
文章(zhang)編輯:CobiNet(寧波),本公司(si)專(zhuan)注于電訊配件(jian),銅纜綜合布(bu)線系(xi)列領域產品研發生產超五類,六類,七類屏(ping)蔽網(wang)(wang)線/屏(ping)蔽模塊(kuai)及相關模塊(kuai)配件(jian),歡迎來電咨詢0574 88168918,網(wang)(wang)址aliance.cn
我們是萬兆屏蔽模塊,10G屏蔽模塊,屏蔽線生產廠家。
