“苹果iCloud账户资料会走漏吗?”、“东西放在金山快盘安全吗?”、“百度云网盘安不安全?”
在搜索引擎上输入当下闻名公有云服务的信息,总是能在搜索结果中看到这样的问题。在互联网APT进犯愈演愈烈的今日,用户对云服务安全性的信赖度好像还远没有到达云服务商的预期。这些“不安”因素,也在影响公有云服务的大好前景。
几年来,公有云服务遭黑客进犯造成海量用户数据走漏的事情接连不断:索尼云服务网站遇黑客进犯导致1亿用户的个人信息被窃,苹果iCloud账户信息走漏遭用户诉苦,谷歌Gmail服务被进犯走漏用户信息
近期,云计算笔记运用Evernote(形象笔记)也遭受了相同的厄运,导致其5000万用户遭到数据走漏危险要挟,Evernote还因此被迫要求其用户重置暗码。相似事情的持续爆发,再度引发了人们对公有云服务安全问题的热议,公有云服务保证数据安全的才干也开端遭到拷问。
因黑客进犯或许导致大量用户名、电子邮件地址和加密暗码走漏,云计算笔记运用服务商Evernote近日向5000万用户发出了重置暗码的告诉。网络进犯正在集中火力锁定公有云,人们对云服务安全性的置疑情绪再度升温。公有云服务,怎么才干安全地走下去?
“改暗码”能解决问题吗
遭到数据走漏要挟的用户,主要是Evernote国际版用户。Evernote方面表明,其信息安全团队在Evernote网络上发现了有安排的恶意进犯,疑似妄图入侵Evernote Service的安全区域。但在随后展开的查询中,他们还未发现用户存储在Evernote上的任何内容有被不合法读取、更改或遗失的迹象。针对用户的支付信息,也没有发现任何不合法访问的痕迹。但由于黑客“有或许”访问了一些与账户相关的用户名、电子邮件地址以及Evernote的加密暗码,所以Evernote“主张”用户更改暗码,以免遭受丢失。
在事情发生后,Evernote曾在其登录界面上经过“跳出提示”的办法提示用户重置暗码。但很快,这种做法就被一种相对“怀柔”的办法替代了。经记者测验发现,现在只是在主动退出之前的登录状况时,才要求用户从头登录。但从头登录时,原来的暗码便会失效,用户不得不点击找回暗码链接重设暗码。
作为闻名云服务商,Evernote希望尽快隐蔽地化解此事情的心态能够了解,但用户的诉苦情绪却没有那么容易平息。一次黑客进犯便足以影响到全部用户,乃至需求一切用户修改暗码,在云服务遭受黑客进犯的案例中,这样的问题总在重复。安全级别看似极高的云服务,为何如此软弱?
“对黑客而言,云服务商最具价值的信息就是用户信息数据库。由于掌握了登录认证信息,就意味着能够掌握用户的全部数据。黑客进犯一个10M的数据库,就足以让其取得T级容量的用户数据,这必然会招引黑客瞄准存储用户身份认证信息的数据库。”BlueCoat安全专家申强告诉记者,今日大量的公有云服务对用户认证信息的维护,依旧在采纳“强加密,弱认证”的安全防护形式,数据的加密做得现已足够好了,但对服务和用户的认证还远远不够。许多面向消费类用户的云服务还是在采纳依据用户名、口令的认证形式,一些用户登录信息乃至还在运用明文存储,这等于把最要害的数据露出给了黑客。一旦黑客获取了用户信息数据库中的数据,数据走漏的危险自然会涉及海量用户。
“咱们的团队在服务过程中发现,云服务商最看重的是自身所能供给的运用服务内容,安全问题往往最终才会去考虑,这种幸运心态是不可取的,等尝到网络进犯的苦头后才回头补救,对用户而言也是极不负责的。”Radware安全专家姚宏洲指出,除了数据盗取及篡改外,云服务商对保证服务可用性的安全问题也关注缺乏。例如DoS/DDoS进犯在全球愈演愈烈,很多职业均被涉及,这种耗费资源型的网络进犯对云服务也是极大的要挟。
多方职责制下的安全杂症
依据职业统计,当时被曝光的企业数据走漏事情缺乏10%。由于数据走漏问题假如发生在企业内部,许多问题能够自我消化。但假如相同的事情发生在公有云服务商的身上,简直100%被曝光。
安全防护的目标永远都是将危险控制到足够小,云服务商相同无法做到100%的安全。申强告诉记者,没有高等级的安全防护措施,公有云服务商很难说服用户去运用其所供给的服务,所以当时公有云服务对数据安全的重视度往往极高。今日能够在企业内部数据中心看到的一切安全措施、安全战略以及安全等级规范,实践在云服务数据中心中至少是被仿制和重现的。“能够说,云安全服务商现已做到了企业级安全能够做到的安全级别,乃至还会更高。但是在云中,却很难到达企业级数据安全等级维护的同等作用。”
他指出,假如单纯从安全维护战略的视点看,云服务数据中心和企业内部的数据中心并没有本质上的区别。和企业内部的安全问题比较,公有云安全问题的复杂性更多体现在职责的界定上。由于云服务的安全职责现已被不同的安排拆解,各自为营。
“云服务数据中心和企业的私有数据中心比较,两者都是从四个层面来完成数据维护的:数据的安全,系统层面的安全,网络传输层面的安全以及用户终端的安全。在企业内部,这四部分的安全规划都是由企业自己完成的。但在公有云环境中,数据、系统的安全问题要由云服务商负责,网络传输部分的安全防护则要由企业和运营商一起承担,用户终端的安全则是由用户个人或企业来办理。这就会形成一种应战:怎么让各部分遵循一致的安全战略,完成全网的安全。这是和传统企业安全最大的不同。
企业安全问题能够去统筹考虑,完成安全战略端到端的遵循,但云服务却难以完成。所以,不是云服务的安全等级不够,而是难以被各职责方一致遵循。
申强表明:“在发生安全问题时,职责的界定呈现了多方关系。这是让云服务安全问题更复杂的本源。当企业开端广泛运用公有云服务的时分,必然会提出一个问题,那就是云服务商数据和系统安全的战略,是否和企业的战略是一致的。反之,云服务商做到了数据高等级安全防护,但数据在被用户所运用的时分遭到进犯,用户的客户端被进犯,黑客相同有或许凭借用户端进犯云系统盗取数据。”
云服务怎么安全地走下去
现在,金山、华为、百度等企业都推出了“网盘”、“快盘”类的云存储服务。但只有华为网盘称其能完成相似银行数据安全级别的云服务。
据华为网盘技能总监余斌介绍,华为网盘的经历是在整个架构规划上考虑“端到端”的安全规划,包括端(客户端,手机、PC等)、管(传输网络)、云(服务器、存储等安全)的安全。比如客户端的加密存储、重要数据传输选用安全协议(HTTPS)、服务端需求考虑防进犯和有效授权访问等。云服务在安全系统架构规划上则需求满意用户的两个需求:第一是数据不被盗取,第二是即使被盗取了也无法检查。需求一应以多重认证等手段来保证数据只能被有权限的用户查阅;需求二则是经过安全的加密算法对数据进行加密存储,保证无法破解。
从面向个人用户的服务转换到面向企业的服务,公有云安全怎么做到多职责方最终的一致、协作也是很要害问题。公有云服务商不只要敲开企业级市场的大门,还要迈过这道门槛。
申强认为,让企业广泛承受公有云运用的条件,一定是云服务商所供给的安全服务,能与企业内部原有的端到端的安全战略完成对接。
“云服务要与企业内部的安全级别,安全措施,运用习惯保持一致,才干有利于云服务商在不改变企业现有安全架构的基础上,让企业承受云服务。当时,一些云服务商推出的、依据虚拟化技能的、可让企业用户自行配置安全战略的服务计划,就是一种有利的测验。”他表明。相关阅读云计算的安全顾忌中不透明性影响云落地亿阳信通联婚VMware 一起推广云服务云计算要害转折点 怎么完成安全办理 经济大惨淡中机遇 坐看有孚“云”起路
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
