今年,亚马逊爆发了全球性云计算故障,导致海量网站和APP瘫痪。过后不久,微软证实,其云计算也发生了全球性故障,在所有28个数据中心中,有26个出现故障。云计算来种种好处的同时上也会引入了新的安全威胁。为了避免云计算事故造成损失,网时小编提醒企业自身需要从以下十个方面注意云产品的安全问题:
1. 谁有访问权限?
访问控制确实是一个问题。云身份认证是如何管理的?内部人员攻击是一种持续威胁。任何获得云平台访问权限的人都有可能成为潜在的问题。举一个例子:有一名员工可能离职或被辞退,结果他或她是唯一有访问密码的人。或者说,或许这一名员工是唯一一位负责给云提供商支付费用的人。你必须知道谁有访问权限,他或她是如何交接工作的,以及访问权限是如何中止的。
2. 你有哪些法规要求?
美国、加拿大或欧盟国家的企业都必须遵守各种法规要求,其中包括欧美隐私保护框架、IT基础架构库和COBIT。你需要确定一个双方均认可的框架,如ISO 27001。此外,你还必须保证云提供商能够满足这些规定的要求,并且愿意接受认证、鉴定和审查。
3. 你是否有审计权限?
这个问题并不是小问题,相反是其中一个最重要的云安全问题。云提供商可能同意在书面上遵守一个审计标准,如SSAE 16。但是,对于审计人员和评估人员而言,想要评估云计算是否符合法规要求,已经被证明是一件越来越难完成和验证的工作。在IT要面对的诸多法规中,几乎没有专门针对云计算的。审计人员和评估人员可能还不熟悉云计算,也不熟悉某个特定的云服务。
4. 员工接受了哪些培训?
这确实是一个非常值得注意的问题,因为人们在安全面前总是弱势群体。了解云提供商给员工提供了哪些培训,是一项要认真审查的重要项目。大多数攻击都同时包含技术因素和社会因素。提供商应该采用措施处理各种来源的社会工程攻击,包括电子邮件、恶意链接、电话及其他方式,它们都应该在出现在培训和认知项目中。
5. 使用的是哪种数据分类系统?
这个方面要关心的问题包括用于分类数据的标准,以及提供商是否支持这些标准。令牌技术现在越来越多地替代加密手段,它有助于保证企业符合各种法规要求,如医疗保障可移植性和可审计性法案、支付卡行业数据安全标准、美国金融服务法案和欧洲数据保持法规等。
6. 是否使用了加密手段?
加密手段也应该在考虑范围内。原始数据是否允许离开企业,或者它们应该留在内部,才能符合法规要求?数据在静止或移动过程中,是否会使用加密措施?此外,你还应该了解其中所使用的加密类型。例如,DES和AES就有一些重要差别。另外,要保证自己知道是谁在维护密钥,然后再签合约。加密手段一定要出现在云安全问题清单中。
7. 数据是如何分隔的?
数据位于一台共享服务器还是一个专用系统中?如果使用一个专用服务器,则意味着服务器上只有你的信息。如果在一台共享服务器上,则磁盘空间、处理能力、带宽等资源都是有限的,因为还有其他人一起共享这个设备。
8. 长期可用性有什么保障?
需要注意的是:云提供商开展业务的时间长短也可能会影响云主机长期可用性。经营时间的长短是评价一个云主机提供商的重要标准。一般来说,云提供商经营经营的时间长,表明企业有稳定的资金流动,这与其卓越的信誉,提供优异的产品,真诚的服务息息相关。网时作为国内领先的云计算服务的提供商,已经成立19年,在提供海量应用于计算的同时,在确保云服务的质量上也是给用户作了长期可用性的保障。
9. 如何保障网站安全稳定的运行?
如何保障网站安全稳定的运行,是所有网站管理者都关心的问题。但是如果自行搭建安全体系往往会让成本成倍的增长,而且很复杂。无疑给用户带来更大的成本以及时间压力。这时,选择一个好的云提供商很重要。一些云提供商会提供一些防御体系服务,以此保障网站安全稳定的运行。比如网时云提供商提供的防御体系服务,从根本上预防网站安全问题,保障网站安全运行。
10. 是否具有灾难恢复意识?
许多企业在选择云主机时往往忽略云主机遇灾时数据的恢复问题。而这恰恰是最重要的一点。一个好的云提供商,具有非常强的数据备份意识。在用户建站过程中,会为用户提供数据自动备份和无损恢复等优质服务,避免机房遭遇灾害时造成用户的巨大损失。