信息安全的威脅一直圍繞著IT產業(yè)。隨著云計算越來越廣泛的應用,企業(yè)數(shù)據(jù)也面臨一些云計算時代才有的風險。本文中云計算安全公司Perspecsys就列舉了七個你一定會犯的云安全錯誤以及相應的預防措施。
1. 將敏感數(shù)據(jù)的控制權交給云服務提供商
使用公有云服務就意味著將所有的數(shù)據(jù)控制權交給了云服務提供商,這些數(shù)據(jù)也包括商業(yè)敏感數(shù)據(jù)。
安全措施:對于用戶,在訂閱用于工作的云應用時,應當遵守企業(yè)的信息安全政策。對于企業(yè)來說,應充分了解企業(yè)內部及云端所使用的數(shù)據(jù)安全工具,特別是云數(shù)據(jù)加密和記號化工具。
2. 丟失對數(shù)據(jù)的追蹤
了解數(shù)據(jù)進行存儲和處理的物理位置有助于遵守有關數(shù)據(jù)儲存的法規(guī)。
安全措施:請確保你了解云服務提供商的主數(shù)據(jù)中心以及后備數(shù)據(jù)中心的地理位置,此外還要了解這些國家或地區(qū)有關數(shù)據(jù)隱私的現(xiàn)行法律法規(guī)。如果數(shù)據(jù)儲存的位置是企業(yè)應用云計算時考慮的要點,那就需要使用技術手段來確保數(shù)據(jù)只儲存在一定的地點。
3. 忽視云應用條款
訂閱云應用時通常需要表示同意相應的條款,但云服務提供商所制定的條款與你所在企業(yè)所遵守的數(shù)據(jù)相關政策很可能有所不同。
安全措施:如果云計算提供商維護的數(shù)據(jù)需要特定的保護,則應堅持與云服務提供商商議合約的條款。例如在第三方云平臺中存儲敏感信息就需要有附加的安全措施以提升保護等級。
4. 使用弱密碼
弱密碼對于黑客來說根本就是形同虛設。研究人員Mark Burnett從過去十年間的數(shù)據(jù)泄露事故中收集了一千萬個密碼,他發(fā)現(xiàn)流行密碼排名的前一百位很少發(fā)生變動。
安全措施:不同服務不要設置相同的密碼,常換換密碼。
5. 認為密碼是萬能的
密碼使人很容易對安全問題掉以輕心,2015年網(wǎng)絡攻擊變得更活躍,安全事故也持續(xù)增加。好消息是“強密碼不足以確保數(shù)據(jù)安全”這一認識的接受度在提高,安全人員也在實施多重防護。
安全措施:保證網(wǎng)絡和云應用的安全需要多重身份驗證,數(shù)據(jù)加密和記號化這樣的技術也應被用在保證數(shù)據(jù)傳輸過程中的安全。
6. 不備份數(shù)據(jù)
如果數(shù)據(jù)沒有備份,一旦發(fā)生事故可就只能抓瞎了,所以必須確保云服務提供商允許本地備份。請注意并不是所有的云計算提供商都允許用戶進行本地備份,所以在使用前需要先調查清楚。
安全措施:無論是否使用云服務數(shù)據(jù)都應該進行備份,將數(shù)據(jù)存儲在不同的云服務提供商處可以降低大量數(shù)據(jù)丟失的風險。
7. 沒計劃
在制定向云平臺遷移的計劃時,應該提前考慮可能受到的影響,比如越來越嚴格的數(shù)據(jù)隱私法規(guī)。
安全措施:對云數(shù)據(jù)要有一個全局的概念,多注意數(shù)據(jù)會在哪些國家進行存儲和處理并評估對數(shù)據(jù)的處理是否會給你帶來法律上的問題?!耙宋从甓I繆,毋臨渴而掘井”。