久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

雖然許多企業(yè)組織期望充分利用云計算，但數(shù)據(jù)安全仍然是需要操心的首要問題。然而，借助眾多云解決方案，有望實現(xiàn)并享用云端的有效數(shù)據(jù)保護(hù)和強加密。

隨著商業(yè)監(jiān)管和信息安全以不對稱的步伐擴展，企業(yè)主管常常到頭來面臨隱私和安全方面的挑戰(zhàn)，他們?nèi)狈ο鄳?yīng)的知識或經(jīng)驗來應(yīng)對這些挑戰(zhàn)。雖然加密是隱私專家們一致認(rèn)為是安全基石的基本技術(shù)，但云端加密可能困難重重。由于有那么多不同類型的加密技術(shù)可供使用，中小型企業(yè)發(fā)覺這種方案很誘人卻又非常讓人困惑。

加密根本不是一項新技術(shù);但在過去，加密的數(shù)據(jù)存儲在服務(wù)器上，而服務(wù)器擺放在公司內(nèi)部，公司直接控制著它們。由于如今許多流行的業(yè)務(wù)應(yīng)用程序托管在云端，企業(yè)主管們要么需要依賴合同條文來保護(hù)資產(chǎn)，選擇一家讓客戶可以先加密數(shù)據(jù)，然后發(fā)送到云端以便存儲或處理的云服務(wù)提供商，要么與軟件即服務(wù)(SaaS)提供商合作，由對方管理其企業(yè)數(shù)據(jù)的加密和解密工作。

有時候，公司別無選擇;Salesforce.com等一些客戶關(guān)系管理(CRM)應(yīng)用程序和思杰ShareFile等企業(yè)文件同步及共享(EFSS)應(yīng)用程序使用安全的互聯(lián)網(wǎng)連接，比如傳輸層安全(TLS)加密連接，將數(shù)據(jù)從用戶的鍵盤或服務(wù)器傳送到互聯(lián)網(wǎng)應(yīng)用程序。一些云存儲應(yīng)用程序還讓用戶可以在企業(yè)網(wǎng)絡(luò)或移動系統(tǒng)與云存儲應(yīng)用程序之間建立一條安全鏈路，比如梭子魚網(wǎng)絡(luò)公司(Barracuda)的Copy.com。一旦數(shù)據(jù)到達(dá)云服務(wù)提供商的服務(wù)器，應(yīng)用程序提供商通常會加密數(shù)據(jù)，確保靜態(tài)數(shù)據(jù)的安全。

云端的有效數(shù)據(jù)保護(hù)

然而，我們遇到了云環(huán)境不對稱發(fā)展帶來的挑戰(zhàn)之一。在過去，IT經(jīng)理面臨的最重要任務(wù)之一就是管理加密密鑰。Green House Data是一家云托管和數(shù)據(jù)中心服務(wù)提供商，首席技術(shù)官Cortney Thompson表示，為了確保數(shù)據(jù)安全，將加密密鑰與加密數(shù)據(jù)分開來極其重要。

他說：“我們提醒醫(yī)療行業(yè)客戶需要留意的一個方面就是，加密密鑰的存儲和使用?？蛻魝兂３⒚荑€與數(shù)據(jù)本身放在同一個地方。”

應(yīng)用程序在使用時，還可能將密鑰存儲在內(nèi)存中。加密密鑰應(yīng)該放在另外的服務(wù)器或存儲塊上。所有密鑰的備份也應(yīng)該放在異地，以防災(zāi)難發(fā)生。這種備份應(yīng)該每幾個月就要審查一次。

Thompson補充說：“加密密鑰還需要經(jīng)常更新。常常逼迫公司這么做，因為密鑰本身被設(shè)成了自動到期失效，而其他密鑰需要定期更新。應(yīng)考慮對密鑰本身進(jìn)行加密(不過這導(dǎo)致加密再加密的惡性循環(huán))。最后，對主密鑰和恢復(fù)密鑰采取多因子驗證。”

安全平臺開發(fā)商Covata USA的首席技術(shù)官兼產(chǎn)品和技術(shù)主管Vic Winkler特別指出，并非所有的企業(yè)數(shù)據(jù)都需要加密，也并非所有的用戶都有一樣的數(shù)據(jù)訪問需要。對公司而言，尤其對中小企業(yè)而言，制定規(guī)則以識別哪些信息需要加密、哪些數(shù)據(jù)可以以明文格式安全地存儲，這點很要緊。

Winkler特別指出，使用可以自動加密應(yīng)用程序里面數(shù)據(jù)的軟件即服務(wù)應(yīng)用程序來隔離數(shù)據(jù)，對于確保重要數(shù)據(jù)得到保護(hù)大有幫助。保護(hù)數(shù)據(jù)的同時又不給公司的業(yè)務(wù)流程帶來負(fù)面影響，這點同樣很要緊。

Winkler表示，為了有效保護(hù)數(shù)據(jù)，無論是大企業(yè)里面的首席信息安全官(CISO)，還是中小企業(yè)里面的指定管理員，負(fù)責(zé)安全的企業(yè)主管都需要保護(hù)處于這三個狀態(tài)的數(shù)據(jù)：傳輸中數(shù)據(jù)、使用中數(shù)據(jù)和靜態(tài)數(shù)據(jù)。他表示，如今許多公司在使用TLS保護(hù)傳輸中數(shù)據(jù)方面做得相當(dāng)?shù)轿唬庆o態(tài)數(shù)據(jù)和使用中數(shù)據(jù)的安全仍有待提高。

Winkler表示，實際上，保護(hù)靜態(tài)數(shù)據(jù)非常重要。最佳的選擇就是，敏感數(shù)據(jù)創(chuàng)建時，對它進(jìn)行加密，那樣該數(shù)據(jù)存儲到數(shù)據(jù)中心后，無論是存儲在本地還是存儲在云端，數(shù)據(jù)都會得到保護(hù)。他表示，應(yīng)用程序安全就好比夾層蛋糕。數(shù)據(jù)添加到應(yīng)用程序中的文件后，安全應(yīng)該是整體的一個必要組成部分，那樣隨時為數(shù)據(jù)確保了安全。

云加密：挑戰(zhàn)和建議

思杰公司的安全和合規(guī)高級經(jīng)理Manny Landrn建議，由于移動應(yīng)用程序日益擴展，客戶應(yīng)該考慮讓服務(wù)提供商或第三方代理提供商管理加密密鑰，而不是由公司自己的IT部門來管理。他表示，公司碰到的問題是，如果數(shù)據(jù)先加密，然后上傳到云存儲服務(wù)提供商;隨后還沒有擁有解密密鑰的移動或遠(yuǎn)程設(shè)備需要訪問數(shù)據(jù)，之后下載的數(shù)據(jù)將是毫無用處的加密數(shù)據(jù)。當(dāng)公司試圖與業(yè)務(wù)合作伙伴共享數(shù)據(jù)，但是又不想合作伙伴直接訪問解密密鑰，這個問題會顯然尤為嚴(yán)重。

他特別指出，如果公司為可能需要眾多文件的系統(tǒng)管理自己的密鑰，密鑰輪換和銷毀也變得更復(fù)雜。第三方代理提供商可以將密鑰與云提供商處的加密數(shù)據(jù)分開來保管，從而增添一層保護(hù)，但是這也增添了另一層復(fù)雜性，而且增添了公司請另一家第三方提供商所需的額外成本。

Landrn提醒公司應(yīng)詢問提供商和潛在的SaaS合作伙伴：它們使用什么協(xié)議來傳輸數(shù)據(jù)。安全套接層(SSL)方法一向是多年來的標(biāo)準(zhǔn);可是自從2014年發(fā)現(xiàn)SSLv3降級加密協(xié)議Padding Oracle攻擊(POODLE)攻擊后，它已失寵。POODLE是一種中間人攻擊漏洞，實際上被設(shè)計到SSL代碼里面。

實施TLS而不是SSL消除了這個漏洞，但一些運行舊式操作系統(tǒng)(比如Windows XP)的遺留系統(tǒng)無法實施TLS。因而，一些零售商擁有的一些服務(wù)器仍運行SSL來支持這些舊式系統(tǒng)，盡管機密數(shù)據(jù)有可能遭到危及。要完全消除這個風(fēng)險，唯一的辦法就是在客戶機系統(tǒng)或服務(wù)器上完全禁用SSL，雖然這消除了問題，但是也導(dǎo)致服務(wù)器無法被只擁有SSL功能的系統(tǒng)所訪問。

云安全廠商Prime Factors的產(chǎn)品管理副總裁Jeff Cherrington表示，除了密鑰管理外，中小企業(yè)要處理的最大問題是，相信云提供商比自己更擅長保護(hù)敏感數(shù)據(jù)，與數(shù)據(jù)所有者一樣注重保護(hù)公司數(shù)據(jù)。

他指出，云提供商并不像銀行、聯(lián)邦政府部門及其他實體那樣受制于同樣的數(shù)據(jù)泄密披露法;果真發(fā)生的數(shù)據(jù)泄密可能不會廣泛宣傳，或者不會與云提供商聯(lián)系起來。然而，擁有數(shù)據(jù)的企業(yè)組織卻要負(fù)責(zé)，即便數(shù)據(jù)泄密的起因出在云托管組織。如果此類的數(shù)據(jù)泄密事件廣為人知，負(fù)面的關(guān)注會更多地著眼于數(shù)據(jù)所有者，而不是著眼于云計算提供商。最終，企業(yè)有義務(wù)保護(hù)其數(shù)據(jù)，無論數(shù)據(jù)在哪里處理、怎樣處理。

這就是為什么云安全聯(lián)盟(Cloud Security Alliance)在其《云計算關(guān)鍵領(lǐng)域安全指南》中建議敏感數(shù)據(jù)應(yīng)該：

·加密以確保數(shù)據(jù)隱私，使用認(rèn)可的算法和較長的隨機密鑰;

·先進(jìn)行加密，然后從企業(yè)傳輸?shù)皆铺峁┥?

·無論在傳輸中、靜態(tài)還是使用中，都應(yīng)該保持加密;

·云提供商及其工作人員根本無法獲得解密密鑰。

Cherrington補充說：“這最后一個規(guī)定對中小企業(yè)來說可能最具挑戰(zhàn)性，這取決于它們實際使用的云。就簡單的文件共享而言，有一些優(yōu)秀的附件面向Dropbox和類似的服務(wù)，比如Viivo或SafeMonk。如果中小企業(yè)將數(shù)據(jù)處理這塊移到云端，情況就會變得復(fù)雜一點。”

與Landrn一樣，Cherrington建議如果敏感數(shù)據(jù)的處理在云端進(jìn)行，用戶就要充分利用云計算的規(guī)模經(jīng)濟(jì)效應(yīng)和彈性/靈活性。他表示，數(shù)據(jù)直到使用那一刻，都應(yīng)該保持加密;只有在受到保護(hù)的瞬時內(nèi)存空間，解密密鑰和加密數(shù)據(jù)才可以敞露無遺。

他說：“密鑰和明文格式的敏感數(shù)據(jù)都要做到在符合審查的要求下能夠擦除，那樣根本沒有副本寫入到磁盤上。”他另外建議，處理過程中絕不能將明文格式的敏感數(shù)據(jù)的副本寫入到任何日志或其他持久性記錄中。

AvaLAN Wireless公司的總裁兼首席執(zhí)行官Matt Nelson提醒，美國的下一個珍珠港事件將是網(wǎng)絡(luò)攻擊。他表示，設(shè)想一下，如果谷歌或微軟等網(wǎng)站因攻擊而完全癱瘓。他補充說，這兩家公司都在其云服務(wù)器上保存著大量的消費者數(shù)據(jù)，所以應(yīng)該將加密認(rèn)作是一種標(biāo)準(zhǔn)的業(yè)務(wù)慣例。

由于大型數(shù)據(jù)中心和商業(yè)網(wǎng)站遭到了一大批網(wǎng)絡(luò)攻擊，無論它們屬于零售、醫(yī)療衛(wèi)生、政府、商業(yè)還是工業(yè)領(lǐng)域，爆出的數(shù)據(jù)安全事件比前幾年要多得多。他說：“我希望人們并沒有對重大攻擊麻木不仁。”