如何避免云中數據泄露

■

云中的安全危害

攻擊者的目標不云本身，云僅僅它們是攻擊企業的訪問點。如果企業盲目地相信云供應商而不是相信自己的分析和判斷，遲早會給企業帶來災難。但現實是：大部分企業的IT專家很相信云供應商提供安全環境的能力，僅有少量的IT用戶會重視審查云供應商的安全策略、安全過程和能力。這實在不是什么好做法。

云安全風險是什么呢？云安全聯盟（CSA）在其云計算的安全報告中定義了云計算的風險。雖然其中包含了很多重要的風險，如數據丟失、賬戶或服務通信被劫持、拒絕服務，等等，但首要風險卻是數據泄露。

為什么云會吸引攻擊者？因為攻擊者可以輕易地滲透進入多個目標。在云安全聯盟的一份研究論文中，研究者設計了一種虛擬機，如果它與另一個獨立的虛擬機都位于同一個硬件系統上，就可以提取存儲在獨立虛擬機上的私鑰。如果多用戶的云服務數據庫的設計有缺陷，一個客戶應用中的漏洞不但可以使攻擊者獲得此客戶的數據，還可以使其獲取其它客戶的數據。

保護云中數據安全的方法

企業要保護云中的數據，需要分三步走：

檢驗云供應商的安全協議

企業只應當使用積極重視其云安全的供應商。合格的云供應商應當不斷地檢查其平臺中的缺陷和漏洞。

企業最好得到云供應商的架構和系統已經得到安全審計的證據材料，企業要明確云供應商的系統滿足合規要求，即使企業未必需要滿足這些規范要求也要這樣做。企業要根據自己的行業和法律要求，審查一下云供應商是否滿足PCI DSS、ISO 27001等規范要求。

不盲目相信供應商，確保嚴格加密

企業必須記住，不管云供應商的安全協議是什么，擁有數據的企業必須為其云安全負責。企業必須確保加密自己的數據，并且使用行業最嚴格的標準來加密。企業必須使用分割加密密鑰來確保只有企業可以訪問自己的數據。通過使用分割加密密鑰，即使攻擊者攻擊進入了系統，也無法讀取數據。

企業還可以通過加密自己的加密密鑰來提升安全水平。由此，即使企業在云中使用密鑰，攻擊者也無法獲取和攻擊。

經常測試

企業應經常運行漏洞掃描，進行全面的滲透測試。企業也可以聘請公司來執行測試。無論是公司的內部測試還是請外部人員的測試，都要求測試者“像黑客一樣思考”，以攻擊者的思維和手段來實施測試。通過測試而查缺補漏，采取相關修復措施后，企業可以保證攻擊者無法訪問企業的數據記錄，或者即使攻擊者訪問了企業的數據，由于有了健全的加密，攻擊者也無法真正竊取數據。“云”中有風險，“入云”須謹慎。不盲目相信云供應商的說辭，而是以懷疑的態度對供應商的安全性進行檢查，對云中的數據進行加密，并經常進行測試，將使企業的云端之路更平穩和安全。