云安全事故频发 迁移需全面考虑

随着云计算、虚拟化等技术的飞速发展,数据中心向虚拟化、云化演进已成大势,有专家预测,未来90%的大型企业、政府机构等都将使用虚拟化。在这一过程中,数据中心所面临的安全风险也在发生着演进与变化。虚拟化数据中心面临比传统数据中心更大的安全挑战。服务器虚拟化在带来种种好处的基础上也引入了新的安全威胁,如虚拟机之间的互相攻击,随时启动的防护间歇等。企业必须考虑各种潜在的威胁,然后才能迁移到云模型上。下面是十个企业应该注意的云安全问题:

[[184976]]

谁有访问权限?

访问控制确实是一个问题。云身份认证是如何管理的?内部人员攻击是一种持续威胁。任何获得云平台访问权限的人都有可能成为潜在的问题。举一个例子:有一名员工可能离职或被辞退,结果他或她是唯一有访问密码的人。或者说,或许这一名员工是唯一一位负责给云提供商支付费用的人。你必须知道谁有访问权限,他或她是如何交接工作的,以及访问权限是如何中止的?

你有哪些法规要求?

美国、加拿大或欧盟国家的企业都必须遵守各种法规要求,其中包括ISO/IEC 27002、EU-U.S. Privacy Shield Framework(欧美隐私保护框架)、IT Infrastructure Library(IT基础架构库)和COBIT.你需要确定一个双方均认可的框架,如ISO 27001.此外,你还必须保证云提供商能够满足这些规定的要求,并且愿意接受认证、鉴定和审查。

你是否有审计权限?

这个问题并不是小问题,相反是其中一个最重要的云安全问题。云提供商可能同意在书面上遵守一个审计标准,如SSAE 16.但是,对于审计人员和评估人员而言,想要评估云计算是否符合法规要求,已经被证明是一件越来越难完成和验证的工作。在IT要面对的诸多法规中,几乎没有专门针对云计算的。审计人员和评估人员可能还不熟悉云计算,也不熟悉某个特定的云服务。

云提供商给员工提供了哪一些培训?

这确实是一个非常值得注意的问题,因为人们在安全面前总是弱势群体。了解云提供商给员工提供了哪些培训,是一项要认真审查的重要项目。大多数攻击都同时包含技术因素和社会因素。提供商应该采用措施处理各种来源的社会工程攻击,包括电子邮件、恶意链接、电话及其他方式,它们都应该在出现在培训和认知项目中。

提供商使用了哪一种数据分类系统?

这个方面要关心的问题包括用于分类数据的标准,以及提供商是否支持这些标准。令牌技术现在越来越多地替代加密手段,它有助于保证企业符合各种法规要求,如Health Insurance Portability and Accountability Act(医疗保障可移植性和可审计性法案)、Payment Card Industry Data Security Standard(支付卡行业数据安全标准)、Gramm-Leach-Bliley Act(美国金融服务法案)和欧洲数据保持法规等。

是否使用了加密手段?

加密手段也应该在考虑范围内。原始数据是否允许离开企业,或者它们应该留在内部,才能符合法规要求?数据在静止和/或移动过程中,是否会使用加密措施?此外,你还应该了解其中所使用的加密类型。例如,DES和AES就有一些重要差别。另外,要保证自己知道是谁在维护密钥,然后再签合约。加密手段一定要出现在云安全问题清单中。

你的数据与其他人的数据是如何分隔的?

数据位于一台共享服务器还是一个专用系统中?如果使用一个专用服务器,则意味着服务器上只有你的信息。如果在一台共享服务器上,则磁盘空间、处理能力、带宽等资源都是有限的,因为还有其他人一起共享这个设备。你需要确定自己是需要私有云还是公有云,以及谁在托管服务器。如果是共享服务器,那么数据就有可能和其他数据混在一起。

提供商的长期可用性体现有什么保障?

云提供商开展这个业务有多长时间了?它过往的业务表现如何?如果它在这个业务上出现问题,你的数据会面临什么问题?你的数据是否会以原始格式交回给你?

如果出现安全漏洞会有什么应对措施?

如果发生了安全事故,你可以从云提供商获得哪些支持?虽然许多提供商都宣称自己的服务是万无一失的,但是基于云的服务是极其容易受到黑客攻击的。侧向通道、会话劫持、跨站脚本和分布式拒绝服务等攻击都是云数据经常遇到的攻击方式。

灾难恢复和业务持续计划是什么?

虽然你可能不知道服务的物理位置,但是它们最终都位于某一个物理位置。所有物理位置都会面临火灾、风暴、自然灾害和断电等威胁。如果出现这些意外事件,云提供商将有什么的响应措施,他们将如何保证自己承诺的不间断服务?

根据预测,未来三年有80%以上的数据中心流量将来自云服务。这意味着,即使你现在还没有做好云迁移,那么到2020年前你也会这样做的。所以,要用这一段时间保证自己采用正确的迁移方法。要提前定义合同要求,然后不能只是复制原来用于本地环境的安全策略。相反,要从迁移的角度去改进它。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/133793.html<

(0)
管理的头像管理
上一篇2025-02-28 20:44
下一篇 2025-02-28 20:45

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注