云计算安全因何面临挑战?

几乎一半的专业人士认为,缺乏网络安全技能是他们不采用云计算的主要因素,根据业内人士的说法,影子IT等因素也使云计算很难达到完全安全。

如今,云计算服务已经变得如此普遍,人们会认为安全是一个合理的期望。然而,安全的云计算说起来容易做起来难。不同国家的IT专业人士发现,在偏远地区保持数据和应用程序安全性具有很大的挑战性,并不是因为云计算不安全。几乎一半的专业人士认为,缺乏网络安全技能是他们不采用云计算的主要因素,根据业内人士的说法,影子IT等因素也使云计算很难达到完全安全。

缺乏网络安全技能可能会影响云安全,但不只是不了解数据存储的加密,认证和正确的管理。谁拥有加密/解密密钥通常不清楚,有时是供应商,而有时是客户(但应该是客户拥有),因此,请仔细阅读“服务级别协议”上的相关条款。

影子IT – 云安全的阻碍因素

影子IT已成为许多工作场所的做法。需要完成工作的员工绕过IT部门以解决过时的软件,缺乏支持和复杂的政策带来的困惑。 IT部门不支持的网络硬件和软件构成了影子IT。由于信息技术发展得如此消费化,工作中使用的个人技术也是其中的一部分。无论如何,当这些部门并不支持的技术没有包涵在其所支持的相同的安全措施中时,就会出现安全风险。就云计算而言,有这么多潜在的问题,这种现象可能会失控。

云计算和合规性

由于在数据完整性方面没有共同的标准,所以存在合规性。当云计算只是一个愿景时,就制定了许多合规性标准。现有的IT安全和合规性标准需要诠释,但是软件即服务使合规流程复杂化,因为大多数客户不太清楚数据的位置。它可以在提供商网络的远程部分中,或者由该提供商的合作伙伴所拥有。某些规定是某些数据不应与其他数据混合使用,即使在共享服务器或同一数据库上,这是一个挑战。

更多的云数据安全挑战

许多云计算客户担心物理资源的缺乏。公共云尤其值得关注。计算资源与其他组织共享,你不知道它们在哪里管理,更不用说控制数据了。如果资源池中的另一家公司违反任何法律,政府也会没收你的资产。物理访问问题也延伸到决定切换供应商时,新提供商的服务与你现有的资源和资产不兼容。当你不知道是否获得相同的安全级别时,从一个供应商到另一个供应商的数据传输服务可能是一个挑战。

在传输,存储和检索的过程中应保持数据完整性。这是缺乏共同标准的问题。但另一个普遍问题是混合云解决方案,服务和应用程序的频繁添加和更新。即使更改服务速度的更新也会影响其安全性。由于每隔几周可能会发生重大变化,这可能是一个需要解决的令人棘手的问题。微软公司的系统开发生命周期甚至不能支持这么短的安全周期,使得使用基于云计算的资源管理项目真的很难一直保持安全的方式。而不断的升级可能需要成本和耗时的。

缺乏技能,标准和控制措施使得云计算安全成为一个挑战。影子IT也是一个阻碍因素。 IT部门可以通过与提供商合作来控制加密等主要因素来解决云安全问题。在快速变化的快节奏的行业中,云计算安全并不能一直保持不变,因此需要采取各种措施来保护数据,无论这些数据在哪里。

云计算安全的6个步骤

(1)了解自己的数据

在实施任何网络安全策略之前,企业必须首先对自己的数据进行审计。这有助于他们了解所收集或生成的数据,以及最敏感和最有价值的数据所处的位置。如果企业不知道他们拥有和生产什么数据,他们甚至无法开始保护它。在欧盟实施的通用数据保护条例(GDPR )监管下,如果发现的任何数据未使用,企业还必须确保安全地删除。

(2)必须保护所有敏感数据

虽然企业限制谁可以访问敏感数据至关重要,但是广泛使用的技术(如加密技术)将确保在未经授权的人员访问时不能使用这种技术。

因此,在这个步骤发生之前,企业必须了解其最有价值数据的存储位置。也许在他们自己的服务器上、在公共云中,或在混合环境中,但无论数据在何处,都必须始终使用加密等协议来保护数据。

(3)安全存储密钥

加密数据时,会创建加密密钥。这些密钥是解锁和访问加密数据所必需的。因此,企业必须确保安全地存储这些密钥。

通过异地存储物理密钥,有助于确保它不能链接到云中的任何加密数据。加密仅与所采用的密钥管理策略一样好,并且企业必须将密钥保存在安全位置,例如远离数据本身的外部系统,以防止它们被窃取。

(4)引入双因素身份验证

接下来,企业应采用强大的双因素身份验证,以确保只有授权员工才能访问他们需要使用的数据。

双因素身份验证涉及个人采用他们拥有的东西保护自己的账户,例如智能手机上的消息。以及他们知道的东西,比如密码。这比单独依赖密码更安全,因为密码很容易被黑客窃取。

(5)始终安装最新的补丁

随着漏洞和缺陷的出现,硬件和软件不断被其供应商修补,以防止黑客利用它们。许多企业不能足够快地安装补丁或使用不再接收常规补丁的软件。Net Marketshare公司的数据显示,尽管已停止使用补丁,但20个组织中仍有一个组织在使用Windows XP。企业必须在可用时安装补丁,以避免成为黑客轻松攻击的目标。

(6)评估并重复

一旦企业实施了上述步骤,就必须对进入其系统的所有新数据重复每个步骤,这至关重要。网络安全和通用数据保护条例(GDPR )合规是一个持续的过程。这些步骤最终将有助于使企业的数据对于攻击者不具有吸引力或不可行,即使在发生违规行为时,他们也无法使用、窃取或保留他们的数据以获取赎金。

我们是『康众智防』

Network Security Product

你可能还想看

这世上本没有赞,点的人多了,也就有了

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180726A1479800?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动