专栏首页云计算D1net云存储访问控制措施实战经验

云存储访问控制措施实战经验

不管是对于商业还是家庭用户来说,云存储正成为一种流行产品。如亚马逊S3、Box、Copiun和Thru等服务拥有功能丰富的产品,使用户可以轻松地备份、同步和存储文档和文件。

尽管普通消费者在使用这类服务时,不需要有太多的顾虑,但是,在选择云存储服务时,从加密到数据生命周期管理,组织需要解决很多安全方面的问题。企业的新兴领域关注于定义和控制访问方法以及定义实现基于云存储的控制 。

在本文中,我们将解释为什么云存储访问控制是一个重要问题,以及在制定和实施云存储访问控制和架构时,企业应考虑哪些问题。 我们还将讨论,在云提供商情境下,如何评估访问控制。

云存储访问控制措施

无论是云提供商管理员还是企业用户,管理访问控制应该是首要考虑的问题。 例如,Jacob Williams在2013年的Black Hat Europe会议上介绍关于Dropbox恶意软件交付、指挥和控制问题,以及说明了自由访问云存储库是危险的,可能会导致数据泄露。

在2012年,Mat Honan的icloud帐户被劫持,在这次泄漏事件中,使用了社会工程技术,并可能涉及键盘侧录。同时,由于该事件,许多以消费者为中心的例子,访问控制问题仍然放在第一和中心的位置。限制哪些人可以访问云存储,如何访问云存储,以及从哪里访问云存储,在评估云存储方案时,这些问题都应该作为重点问题考虑。

•以下是企业在实施云存储服务时,关于访问控制机制,企业应该关注的一系列问题:

•管理工具和其他管理应用存储的用户密码使用加密格式吗? 如果使用了加密格式,是什么类型的?加密格式经过定期测试吗? 此外,存储管理应用程序允许的密码长度、类型和持续时间的设定与执行?

•云存储基础架构支持什么类型的安全连接?支持一般的安全通信协议吗?如SSLv3 、 TLS和SSH?

•活动用户的会话是否超时? 如果没有一个合理的超时时间,在空闲客户端的端点,就会存在会话劫持的风险,是相当糟糕的。

管理工具支持多个管理员配置,来提供细粒度的安全水平? 管理应用程序的访问和配置云存储应该根据时间、日期和功能来配置选项,从而限制管理员的访问。 所有管理员的操作应该被记录下来,用于审计和报警,并且这些记录应提供给企业的安全团队。

云存储管理应用程序是否有能力定义细粒度角色和特权?为了保持适当的职责分离,以及执行最少权限原则,这种能力应该被认为是强制性的。

除了这些关键问题,应该仔细审查云存储基础架构访问方法的整体设计和架构。 企业可以考虑的一种方法是“CloudCapsule,”是一种全新的云存储访问控制方法,由乔治亚理工大学信息安全中心(GTISC)在“ 2014年新兴网络威胁报告 ”中提出。 CloudCapsule利用本地安全虚拟机,用户可以利用访问云存储,数据被发送之前会自动加密。 这样的话,用户的本地系统与云服务数据交换之间在一定程度上分离开,同时也使得发送到云环境中的任何数据都会自动加密。 继GTISC开发的模型之后,目前很多组织要求所有的云存储服务,通过虚拟桌面基础架构的虚拟机,可以访问,可以使用数据丢失防护(DLP)策略进行控制与扫描 。

与云存储提供商直接对接的加密网关,也越来越受欢迎。 例如,CipherCloud代理可以自动加密发送到Amazon的S3、RDS和EBS存储服务的数据,并且,可以自动加密发送到存储提供商的数据,如Box。 端点安全工具,如whitelisting和DLP代理也可以用来限制云存储客户端的安装,并且,新的基于网络的监控工具,比如Skyhigh网络公司可以监控、控制云存储服务的访问。

提供商控制

我们已经明确了组织如何审视云存储访问控制,但是,在云提供商环境内部的访问控制措施,也应该进行仔细评估。 当评估云存储提供商时,注意一些已经设置得当的访问控制和数据保护策略:

1.首先,管理用户,特别是存储管理员,在访问存储组件和内部区域时,应按规定,利用强大的身份验证方法。

2.提供商存储环境下,应充分利用隔离和分割技术,比如安全分区,交换机和主机的结构身份认证,超过全球通用名或者iSCSI单独限定名的值,以及单独的交换机和整个结构的安全管理。

3.云服务提供商也应确保,每位客户的服务系统,与其他网络区分开,不论是在逻辑上还是在物理上,互联网接入、生产数据库、开发和中转区、以及内部应用程序和组件创建了单独的防火墙区域。

结论

尽管基于云的存储为企业提供了许多优势,但是,在将宝贵的数据传输到云存储提供商之前,有很多不能忽略的安全隐患。 值得庆幸的是,越来越多的安全厂商可以保证组织对云存储进行适当的访问控制。 只要企业事先做好准备,并且确保很好地解决了上述问题,云存储对企业来说,是一个很大的优势。

本文分享自微信公众号 - 云计算D1net(D1Net02),作者:点蓝字查历史消息

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-03-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 混合云实现分层存储架构

    通过提供更低的成本,更高的性能并减少数据的丢失,混合云可以帮助一些企业优化其分层存储系统。 分层存储架构并不是什么新鲜事。这已经是多年来常见的一种做法,创建一个...

    静一
  • 高性能的云存储不再是白日梦

    “任何时候,只要当您将您的基础设施迁移到数据中心以外的地方时,都会涉及到延迟,您将遭遇到以光的速度运行的问题。”位于马萨诸塞州米尔福德的企业策略集团公司(Ent...

    静一
  • 如何集成云层与本地存储

    云和本地存储正走向越来越紧密的整合,于是云成为了另一个存储管理员可用的层级。 ? 组织不大可能把100%的数据都移到云服务上,但大多数企业都会至少想让一部分数据...

    静一
  • 存储过程

    存储过程是用于将代码存储在数据库端,通过存储过程名称就可以调用。存储过程类似于java的方法,但是也是有区别的,方法只能返回一个值,并且需要声明返回值的类型,但...

    端碗吹水
  • 混合云实现分层存储架构

    通过提供更低的成本,更高的性能并减少数据的丢失,混合云可以帮助一些企业优化其分层存储系统。 分层存储架构并不是什么新鲜事。这已经是多年来常见的一种做法,创建一个...

    静一
  • 如何集成云层与本地存储

    云和本地存储正走向越来越紧密的整合,于是云成为了另一个存储管理员可用的层级。 ? 组织不大可能把100%的数据都移到云服务上,但大多数企业都会至少想让一部分数据...

    静一
  • 朱建平:如何架构海量存储系统

    5月25日,云+社区技术沙龙-互联网架构成功举办。本期沙龙特邀请腾讯的技术专家分享关于技术架构、落地实践案例、无服务器云函数架构、海量存储系统架构等话题,从技术...

    云加社区技术沙龙
  • 高性能的云存储不再是白日梦

    “任何时候,只要当您将您的基础设施迁移到数据中心以外的地方时,都会涉及到延迟,您将遭遇到以光的速度运行的问题。”位于马萨诸塞州米尔福德的企业策略集团公司(Ent...

    静一
  • 存储创新思路思考

    image.png 头图是西雅图风光,站在山上可以眺望华盛顿湖和雷尼尔雪山。 下面这篇文章写的比较highlevel,初学者可能看不懂,欢迎资深人士一起探讨。 ...

    大数据和云计算技术
  • 【腾讯云的1001种玩法】十分钟轻松搞定云架构之三:更大的存储

    通过本文,我们来了解下面这个四个方面:应用发展过程中不可避免的存储问题、什么是对象存储 、对象存储的优势、对象存储的最佳实践。

    白宦成

扫码关注云+社区

领取腾讯云代金券