云存储访问控制措施实战经验

不管是对于商业还是家庭用户来说,云存储正成为一种流行产品。如亚马逊S3、Box、Copiun和Thru等服务拥有功能丰富的产品,使用户可以轻松地备份、同步和存储文档和文件。

尽管普通消费者在使用这类服务时,不需要有太多的顾虑,但是,在选择云存储服务时,从加密到数据生命周期管理,组织需要解决很多安全方面的问题。企业的新兴领域关注于定义和控制访问方法以及定义实现基于云存储的控制 。

在本文中,我们将解释为什么云存储访问控制是一个重要问题,以及在制定和实施云存储访问控制和架构时,企业应考虑哪些问题。 我们还将讨论,在云提供商情境下,如何评估访问控制。

云存储访问控制措施

无论是云提供商管理员还是企业用户,管理访问控制应该是首要考虑的问题。 例如,Jacob Williams在2013年的Black Hat Europe会议上介绍关于Dropbox恶意软件交付、指挥和控制问题,以及说明了自由访问云存储库是危险的,可能会导致数据泄露。

在2012年,Mat Honan的icloud帐户被劫持,在这次泄漏事件中,使用了社会工程技术,并可能涉及键盘侧录。同时,由于该事件,许多以消费者为中心的例子,访问控制问题仍然放在第一和中心的位置。限制哪些人可以访问云存储,如何访问云存储,以及从哪里访问云存储,在评估云存储方案时,这些问题都应该作为重点问题考虑。

•以下是企业在实施云存储服务时,关于访问控制机制,企业应该关注的一系列问题:

•管理工具和其他管理应用存储的用户密码使用加密格式吗? 如果使用了加密格式,是什么类型的?加密格式经过定期测试吗? 此外,存储管理应用程序允许的密码长度、类型和持续时间的设定与执行?

•云存储基础架构支持什么类型的安全连接?支持一般的安全通信协议吗?如SSLv3 、 TLS和SSH?

•活动用户的会话是否超时? 如果没有一个合理的超时时间,在空闲客户端的端点,就会存在会话劫持的风险,是相当糟糕的。

管理工具支持多个管理员配置,来提供细粒度的安全水平? 管理应用程序的访问和配置云存储应该根据时间、日期和功能来配置选项,从而限制管理员的访问。 所有管理员的操作应该被记录下来,用于审计和报警,并且这些记录应提供给企业的安全团队。

云存储管理应用程序是否有能力定义细粒度角色和特权?为了保持适当的职责分离,以及执行最少权限原则,这种能力应该被认为是强制性的。

除了这些关键问题,应该仔细审查云存储基础架构访问方法的整体设计和架构。 企业可以考虑的一种方法是“CloudCapsule,”是一种全新的云存储访问控制方法,由乔治亚理工大学信息安全中心(GTISC)在“ 2014年新兴网络威胁报告 ”中提出。 CloudCapsule利用本地安全虚拟机,用户可以利用访问云存储,数据被发送之前会自动加密。 这样的话,用户的本地系统与云服务数据交换之间在一定程度上分离开,同时也使得发送到云环境中的任何数据都会自动加密。 继GTISC开发的模型之后,目前很多组织要求所有的云存储服务,通过虚拟桌面基础架构的虚拟机,可以访问,可以使用数据丢失防护(DLP)策略进行控制与扫描 。

与云存储提供商直接对接的加密网关,也越来越受欢迎。 例如,CipherCloud代理可以自动加密发送到Amazon的S3、RDS和EBS存储服务的数据,并且,可以自动加密发送到存储提供商的数据,如Box。 端点安全工具,如whitelisting和DLP代理也可以用来限制云存储客户端的安装,并且,新的基于网络的监控工具,比如Skyhigh网络公司可以监控、控制云存储服务的访问。

提供商控制

我们已经明确了组织如何审视云存储访问控制,但是,在云提供商环境内部的访问控制措施,也应该进行仔细评估。 当评估云存储提供商时,注意一些已经设置得当的访问控制和数据保护策略:

1.首先,管理用户,特别是存储管理员,在访问存储组件和内部区域时,应按规定,利用强大的身份验证方法。

2.提供商存储环境下,应充分利用隔离和分割技术,比如安全分区,交换机和主机的结构身份认证,超过全球通用名或者iSCSI单独限定名的值,以及单独的交换机和整个结构的安全管理。

3.云服务提供商也应确保,每位客户的服务系统,与其他网络区分开,不论是在逻辑上还是在物理上,互联网接入、生产数据库、开发和中转区、以及内部应用程序和组件创建了单独的防火墙区域。

结论

尽管基于云的存储为企业提供了许多优势,但是,在将宝贵的数据传输到云存储提供商之前,有很多不能忽略的安全隐患。 值得庆幸的是,越来越多的安全厂商可以保证组织对云存储进行适当的访问控制。 只要企业事先做好准备,并且确保很好地解决了上述问题,云存储对企业来说,是一个很大的优势。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2014-03-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Golang语言社区

Go语言发布1.5版本:彻底告别C代码

在经历了6年6次更新之后,Google的自家编程语言“Go”终于迎来了1.5版本。Google在本次更新中移除了“最后残余的C代码”,因为运行时(runtim...

31990
来自专栏cloudskyme

云计算的体系结构

云计算的体系结构由5部分组成,分别为应用层,平台层,资源层,用户访问层和管理层,云计算的本质是通过网络提供服务,所以其体系结构以服务为核心。 如下图: ? 1,...

2.7K110
来自专栏技术翻译

物联网的神经系统

当今世界有数十亿的智能设备,但是如果这些设备是相互连接的呢?如果这些设备可以像它们的主人一样相互作用,形成一种全球性的神经系统呢?这从本质上描述了人们所说的物联...

22310
来自专栏FreeBuf

微软发布Windows Defender System Guard运行时认证技术

上周,微软推出了一项新的 Windows 平台安全技术:Windows Defender System Guard 运行时认证。这项技术主要用于应对软件中的攻击...

17820
来自专栏分享达人秀

Android开发环境概述

工欲善其事,必先利其器。Android开发人员在自己的计算机上编写和测试应用程序,然后将其部署到实际的设备上,那首先必不可少的就是开发环境的搭建。 ...

34150
来自专栏杨建荣的学习笔记

SQL审核的整体设计和落地

SQL审核目前已做差不多了,整个过程其实看起来,要远比我们想的c/s服务调用要复杂的多。

22320
来自专栏章鱼的慢慢技术路

游戏开发中的专业术语

本文整理了网络/游戏/编程相关的专业术语,作为游戏开发中的辅助参考资料,后期如果遇到其他的术语还会更新。

28710
来自专栏BestSDK

Zenedge随原生SDK一起发布API安全解决方案

网络安全提供商Zenedge的主营业务包括AI驱动的Web应用防火墙、恶意机器人检测以及机器人管理服务,这家公司近期为web和移动设备随原生SDK一起发布了AP...

32650
来自专栏腾讯移动品质中心TMQ的专栏

性能自动化充电、断电之痛​——小松鼠的救赎之路

起因 去年刚来公司,我便接手了腾讯LB这款App的性能测试工作。 当时的性能测试的需求是,采集腾讯LB在“前台导航”“后台导航”等数个场景下的...

23790
来自专栏沃趣科技

Gitlab删库事件回顾,备份手段还停留在“原始社会”?

作者简介:孙朝阳 沃趣科技高级产品经理。 Gitlab简介 Gitlab是大家很熟悉的开源Git代码托管工具,国内公司大多使用社区版自行搭建私有化的内部代码托...

38060

扫码关注云+社区

领取腾讯云代金券