企業(yè)使用云計(jì)算服務(wù)已經(jīng)有了幾十年的歷史，云計(jì)算已經(jīng)成為我們應(yīng)用程序、基礎(chǔ)設(shè)施和數(shù)據(jù)的安全門戶。它讓我們有機(jī)會遠(yuǎn)程使用所需的所有服務(wù)，并安全地訪問數(shù)據(jù)。

然而，不幸的是，互聯(lián)網(wǎng)上沒有什么是100%安全的。因此，我們需要首先了解使用云服務(wù)的風(fēng)險(xiǎn)，并了解需要遵循哪些方法來緩解這些風(fēng)險(xiǎn)，因?yàn)樽罱K，云服務(wù)仍然值得使用，因?yàn)橄鄬τ陲L(fēng)險(xiǎn)而言，它的好處更多。

1、云計(jì)算存在哪些安全風(fēng)險(xiǎn)?

根據(jù)Owasp，以下是十大云安全風(fēng)險(xiǎn)，我們將逐一解決，進(jìn)一步了解這些風(fēng)險(xiǎn)，并找出降低這些風(fēng)險(xiǎn)的下一步措施:

1)責(zé)任和數(shù)據(jù)風(fēng)險(xiǎn)

云服務(wù)可以完全控制或有限地控制使用者的數(shù)據(jù)。最大的風(fēng)險(xiǎn)可能是在存儲或處理數(shù)據(jù)方面缺乏透明度或滿足監(jiān)管要求。

如何降低風(fēng)險(xiǎn)?

用戶需要確保有一個(gè)完全透明的協(xié)議和安全策略，以確保第三方服務(wù)提供商將符合標(biāo)準(zhǔn)來保護(hù)其數(shù)據(jù)。

2)用戶身份聯(lián)合

根據(jù)日立系統(tǒng)安全公司的說法，“數(shù)字身份是網(wǎng)絡(luò)安全的關(guān)鍵部分。它控制著敏感資源的特權(quán)訪問等關(guān)鍵領(lǐng)域?！?/p>

云提供商需要確保他們的用戶識別過程符合組織的標(biāo)準(zhǔn)。

如何降低風(fēng)險(xiǎn)?

身份驗(yàn)證和授權(quán)對于安全性非常重要。企業(yè)需要使用某些工具來強(qiáng)制執(zhí)行密碼或軟件的安全標(biāo)準(zhǔn)。有些應(yīng)用程序的報(bào)告和跟蹤功能非常有用。

按照Owasp的說法，“用戶實(shí)體應(yīng)該通過聯(lián)邦身份驗(yàn)證(如安全斷言標(biāo)記語言)進(jìn)行唯一標(biāo)識”。

3)法規(guī)遵從性

即使我們通過互聯(lián)網(wǎng)獲得服務(wù)，我們的數(shù)據(jù)也被服務(wù)提供商物理地存儲在一個(gè)地方。因此，了解這個(gè)地方的監(jiān)管法律是至關(guān)重要的，因?yàn)樗鼈冊诿總€(gè)國家都是不同的。

如何降低風(fēng)險(xiǎn)?

機(jī)構(gòu)和服務(wù)提供者之間必須完全透明。組織機(jī)構(gòu)需要知道他們的數(shù)據(jù)將存儲在哪里，服務(wù)提供商也需要確保他們將遵守有關(guān)存儲數(shù)據(jù)的監(jiān)管規(guī)則。

4)業(yè)務(wù)連續(xù)性和彈性

企業(yè)需要確保他們的業(yè)務(wù)在各種條件下運(yùn)行。否則，即使是幾個(gè)小時(shí)的無法操作的情況也會是毀滅性的。

當(dāng)企業(yè)與云提供商合作時(shí)，會依賴于他們的系統(tǒng)來保證業(yè)務(wù)的連續(xù)性。如果云提供商的系統(tǒng)出現(xiàn)故障，用戶將無法訪問服務(wù)。

如何降低風(fēng)險(xiǎn)?

企業(yè)確保在任何停機(jī)情況下都有服務(wù)水平協(xié)議。提供商還需要準(zhǔn)備一個(gè)災(zāi)難恢復(fù)計(jì)劃，以備不時(shí)之需。

5)用戶隱私和數(shù)據(jù)的二次使用

一旦數(shù)據(jù)被轉(zhuǎn)移到云上，我們就再也無法控制它了。用戶數(shù)據(jù)可以遷移到一個(gè)平臺，但在另一個(gè)我們不知道的平臺上使用。

一些企業(yè)進(jìn)行數(shù)據(jù)挖掘，這也是可能侵犯用戶隱私的最大風(fēng)險(xiǎn)之一。它主要用于了解用戶行為和廣告模式等，然而，它也可能暴露所有的私人信息。

如何降低風(fēng)險(xiǎn)?

數(shù)據(jù)挖掘的風(fēng)險(xiǎn)非常高，然而，用戶無法采取任何措施來降低風(fēng)險(xiǎn)。MFA或加密可能在某種程度上有所幫助。

另一方面，我們完全可以通過云服務(wù)提供商來控制我們的數(shù)據(jù)使用。企業(yè)應(yīng)確保有一個(gè)關(guān)于用戶隱私和數(shù)據(jù)應(yīng)該如何使用的政策。

6)服務(wù)和數(shù)據(jù)集成

在將敏感數(shù)據(jù)傳輸?shù)皆贫说倪^程中，存在數(shù)據(jù)暴露的風(fēng)險(xiǎn)。

如何降低風(fēng)險(xiǎn)?

企業(yè)需要確保云提供商使用安全套接字層(Secure Sockets Layer)和最新的傳輸安全協(xié)議(Transport Security Protocols)，即加密協(xié)議。它們允許在互聯(lián)網(wǎng)上安全傳輸數(shù)據(jù)。

7)多租戶和物理安全

如果企業(yè)想要降低成本，多租戶是云提供商提供的一種選擇。然而，如果分離不符合邏輯，與其他企業(yè)共享資源而不是使用專用資源，可能會有風(fēng)險(xiǎn)。

如何降低風(fēng)險(xiǎn)?

云服務(wù)提供商需要設(shè)置具有邏輯隔離的服務(wù)器，還需要確保每個(gè)企業(yè)的基礎(chǔ)設(shè)施是隔離的。

8)發(fā)生率分析和取證

當(dāng)發(fā)生事故時(shí)，識別漏洞并管理它們是至關(guān)重要的。因此，日志文件在了解情況方面非常重要。然而，云提供商可能很難完成這個(gè)過程，因?yàn)檫@些事件可能會被記錄在多個(gè)地理管轄區(qū)內(nèi)。

如何降低風(fēng)險(xiǎn)?

企業(yè)需要了解云服務(wù)提供商如何存儲和處理事件日志。

9)基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全性至關(guān)重要，必須足夠好才能保護(hù)系統(tǒng)。云服務(wù)提供商需要確保他們有一個(gè)強(qiáng)大的基礎(chǔ)設(shè)施，并經(jīng)常審核他們的系統(tǒng)。

如何降低風(fēng)險(xiǎn)?

云服務(wù)提供商需要確保他們實(shí)施多種安全措施，從配置到例行的漏洞審計(jì)。企業(yè)需要了解云提供商在基礎(chǔ)設(shè)施安全方面的做法。

10)非生產(chǎn)環(huán)境暴露

應(yīng)用程序并不只有一個(gè)環(huán)境。提供商在生產(chǎn)環(huán)境中發(fā)布代碼之前，可能會在兩個(gè)甚至更多的環(huán)境中測試它們的系統(tǒng)。

風(fēng)險(xiǎn)在于，在測試環(huán)境中，安全性可能不那么重要。但是，如果用于測試目的的數(shù)據(jù)是真實(shí)的，那么就有很高的數(shù)據(jù)暴露風(fēng)險(xiǎn)。

如何降低風(fēng)險(xiǎn)?

提供商需要確保測試環(huán)境中使用的數(shù)據(jù)不是真實(shí)和敏感的。

總結(jié)

云計(jì)算已經(jīng)為我們服務(wù)了幾十年，以確保我們有一個(gè)安全的應(yīng)用程序、基礎(chǔ)設(shè)施和數(shù)據(jù)門戶。

這是一種神奇的遠(yuǎn)程使用所有服務(wù)的方式，也給了我們一個(gè)安全訪問數(shù)據(jù)的機(jī)會。

然而，云服務(wù)提供商也有被泄露的風(fēng)險(xiǎn)，并導(dǎo)致他們的客戶數(shù)據(jù)暴露。

我們需要明白，使用云的好處是很多的，因?yàn)樵铺峁┥淌撬麄兯陬I(lǐng)域的專家，他們可以以最好的方式應(yīng)用安全措施。

然而，在企業(yè)與供應(yīng)商接觸之前，也需要詳細(xì)了解他們處理系統(tǒng)和客戶數(shù)據(jù)的方式，以確保他們的工作符合企業(yè)的期望。

為了保護(hù)自己免受潛在威脅，我們需要意識到安全風(fēng)險(xiǎn)。

因此，如果企業(yè)在與供應(yīng)商聯(lián)系時(shí)，考慮到這些潛在的風(fēng)險(xiǎn)，并制定相應(yīng)的措施，必然能夠?yàn)槠髽I(yè)的運(yùn)營創(chuàng)造更好的安全環(huán)境。