在好萊塢明星艷照門(mén)事件后，iCloud身份驗(yàn)證遭受質(zhì)疑，那么，對(duì)企業(yè)而言，它足夠安全嗎?在本文中，專家Dave Shackleford將為大家解答這個(gè)問(wèn)題。

[[126526]]

在2014年8月份iCloud明星照片泄露事件后，蘋(píng)果公司對(duì)其安全系統(tǒng)和政策做出了一些修改，包括當(dāng)用戶賬戶登錄時(shí)發(fā)送電子郵件警報(bào)給用戶。然而，在這個(gè)做法中仍然存在漏洞可能允許攻擊者訪問(wèn)用戶賬戶，而且用戶不會(huì)收到提醒。

在本文中我們將探討iCloud身份驗(yàn)證的情況，重點(diǎn)是企業(yè)需要知道的iCloud安全的關(guān)鍵方面。是否有辦法讓iCloud的使用在企業(yè)設(shè)置中被寬恕或者至少被容忍，還是沒(méi)有辦法?是否能夠?yàn)樗峁╊~外的控制?本文中也將為企業(yè)提供一些指導(dǎo)，讓企業(yè)知道如何運(yùn)用技術(shù)和政策來(lái)降低iCloud相關(guān)數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

企業(yè)中的iCloud安全

iCloud真的適合企業(yè)嗎?有些企業(yè)更愿意使用具有企業(yè)安全和監(jiān)控功能的可管理的服務(wù)，例如Box.com或Google Drive，但同時(shí)很多IT部門(mén)允許使用iCloud作為BYOD舉措的一部分。目前蘋(píng)果正在努力讓iCloud更適合企業(yè)使用，包括其iCloud Drive和Mail Drop，它們可以自動(dòng)同步大型郵件附件到iCloud驅(qū)動(dòng)器。

下一個(gè)問(wèn)題是：它是否可以受到適當(dāng)?shù)谋Ｗo(hù)?好消息是，在明星艷照泄露事件后，蘋(píng)果已經(jīng)增加了一些安全控制來(lái)加強(qiáng)iCloud賬戶安全。在iCloud中，郵件和筆記不會(huì)被加密，但大部分其他數(shù)據(jù)都會(huì)加密，包括iCloud Drive和iCloud Backup數(shù)據(jù)、日歷、聯(lián)系人、書(shū)簽、照片和文檔。對(duì)iCloud的所有連接還使用SSL來(lái)安全地連接和傳輸數(shù)據(jù)。

蘋(píng)果公司一直要求用戶對(duì)其iCloud服務(wù)使用高強(qiáng)度密碼。所有訪問(wèn)iCloud的蘋(píng)果ID至少需要8個(gè)字符，其中需要包括一個(gè)大寫(xiě)字母、一個(gè)小寫(xiě)字母和一個(gè)數(shù)字。這可能并不完美，但它符合目前很多企業(yè)密碼政策。

蘋(píng)果提供的額外安全措施

蘋(píng)果為加強(qiáng)iCloud賬戶安全所做的兩個(gè)最大的變更涉及當(dāng)發(fā)生某些登錄操作或賬戶設(shè)置被更改時(shí)發(fā)送給用戶的警報(bào)，以及訪問(wèn)iCloud賬戶的雙因素身份驗(yàn)證。該警報(bào)選項(xiàng)要求用戶使用“已知”設(shè)備來(lái)驗(yàn)證其身份，然后他們才可以對(duì)其MyAppleID的賬戶信息做出更改，在新設(shè)備或iCloud.com登錄到iCloud，或從新設(shè)備在iTunes、iBooks或App Store購(gòu)買產(chǎn)品。用戶可以在設(shè)備的設(shè)置中啟用這個(gè)雙因素身份驗(yàn)證，并且，這種驗(yàn)證方法通常會(huì)通過(guò)短信向移動(dòng)設(shè)備發(fā)送PIN碼。當(dāng)?shù)卿洸僮魍瓿苫蛸~戶變更完成時(shí)，警報(bào)會(huì)發(fā)送到主賬戶電子郵件。這些電子郵件會(huì)有些許延遲，有些攻擊者指出受感染的賬戶可以快速被配置為將蘋(píng)果的電子郵件發(fā)送到垃圾郵件文件夾，防止用戶發(fā)現(xiàn)。

如何降低安全風(fēng)險(xiǎn)

如果沒(méi)有兩步驟驗(yàn)證，攻擊者仍然可以很容易地對(duì)iCloud身份驗(yàn)證進(jìn)行蠻力破解，這讓人們認(rèn)為蘋(píng)果的安全措施仍然不足。企業(yè)如何可以增強(qiáng)蘋(píng)果的內(nèi)置控制?為加強(qiáng)iCloud安全，安全團(tuán)隊(duì)可以使用的唯一控制類型是移動(dòng)設(shè)備管理(MDM)控制，制定iCloud使用政策，并執(zhí)行本地?cái)?shù)據(jù)保護(hù)和身份驗(yàn)證來(lái)取代iCloud的做法。企業(yè)并沒(méi)有簡(jiǎn)單的方法可以控制個(gè)別用戶的iCloud賬戶，但企業(yè)可以制定新政策，說(shuō)明對(duì)云服務(wù)(包括iCloud)的可接受使用和禁止使用，這是一個(gè)很好的開(kāi)始。此外，傳統(tǒng)代理服務(wù)器和內(nèi)容過(guò)濾器等其他工具以及更專業(yè)的工具(例如Skyhigh Networks的內(nèi)容監(jiān)測(cè))可以幫助檢測(cè)和控制在有線和無(wú)線企業(yè)網(wǎng)絡(luò)對(duì)iCloud服務(wù)的使用，但移動(dòng)網(wǎng)絡(luò)將仍然提供給用戶使用。

總結(jié)

相比大多數(shù)企業(yè)存儲(chǔ)選項(xiàng)，iCloud有著相對(duì)不成熟的安全選項(xiàng)。在大多數(shù)情況下，企業(yè)應(yīng)該選擇更安全的存儲(chǔ)做法，但蘋(píng)果公司提供的新功能讓iCloud成為可用的選擇，如果說(shuō)不是理想的選擇。