< img height="1" width="1" style="display:none" src="https://a.gdt.qq.com/pixel?user_action_set_id=1109261076&action_type=PAGE_VIEW&noscript=1"/>

云主机事故频发,10大企业需注意的云安全问题

不久前,亚马逊刚刚爆发全球性云计算故障,导致海量网站和APP瘫痪。而就在北京时间周四,微软证实,其云计算也发生了全球性故障,在所有28个数据中心中,有26个出现故障。云计算来种种好处的基础上也引入了新的安全威胁。针对这些问题,腾正科技开发研究防C盾,解决用户业务的云安全问题。

  不久前,亚马逊刚刚爆发全球性云计算故障,导致海量网站和APP瘫痪。而就在北京时间周四,微软证实,其云计算也发生了全球性故障,在所有28个数据中心中,有26个出现故障。云计算来种种好处的基础上也引入了新的安全威胁。针对这些问题,腾正科技开发研究防C盾,解决用户业务的云安全问题。同时企业也需要从以下十个方面注意云产品的安全问题

  1、谁有访问权限?

  访问控制确实是一个问题。云身份认证是如何管理的?内部人员攻击是一种持续威胁。任何获得云平台访问权限的人都有可能成为潜在的问题。举一个例子:有一名员工可能离职或被辞退,结果他或她是唯一有访问密码的人。或者说,或许这一名员工是唯一一位负责给云提供商支付费用的人。你必须知道谁有访问权限,他或她是如何交接工作的,以及访问权限是如何中止的?

  2、你有哪些法规要求?

  美国、加拿大或欧盟国家的企业都必须遵守各种法规要求,其中包括ISO/IEC 27002、EU-U.S. Privacy Shield Framework(欧美隐私保护框架)、IT Infrastructure Library(IT基础架构库)和COBIT.你需要确定一个双方均认可的框架,如ISO 27001.此外,你还必须保证云提供商能够满足这些规定的要求,并且愿意接受认证、鉴定和审查。

  3、你是否有审计权限?

  这个问题并不是小问题,相反是其中一个最重要的云安全问题。云提供商可能同意在书面上遵守一个审计标准,如SSAE 16.但是,对于审计人员和评估人员而言,想要评估云计算是否符合法规要求,已经被证明是一件越来越难完成和验证的工作。在IT要面对的诸多法规中,几乎没有专门针对云计算的。审计人员和评估人员可能还不熟悉云计算,也不熟悉某个特定的云服务。

  4、云提供商给员工提供了哪一些培训?

  这确实是一个非常值得注意的问题,因为人们在安全面前总是弱势群体。了解云提供商给员工提供了哪些培训,是一项要认真审查的重要项目。大多数攻击都同时包含技术因素和社会因素。提供商应该采用措施处理各种来源的社会工程攻击,包括电子邮件、恶意链接、电话及其他方式,它们都应该在出现在培训和认知项目中。

  5、提供商使用了哪一种数据分类系统?

  这个方面要关心的问题包括用于分类数据的标准,以及提供商是否支持这些标准。令牌技术现在越来越多地替代加密手段,它有助于保证企业符合各种法规要求,如医疗保障可移植性和可审计性法案、支付卡行业数据安全标准、美国金融服务法案和欧洲数据保持法规等。

  6、是否使用了加密手段?

  加密手段也应该在考虑范围内。原始数据是否允许离开企业,或者它们应该留在内部,才能符合法规要求?数据在静止和/或移动过程中,是否会使用加密措施?此外,你还应该了解其中所使用的加密类型。例如,DES和AES就有一些重要差别。另外,要保证自己知道是谁在维护密钥,然后再签合约。加密手段一定要出现在云安全问题清单中。

  7、你的数据与其他人的数据是如何分隔的?

  数据位于一台共享服务器还是一个专用系统中?如果使用一个专用服务器,则意味着服务器上只有你的信息。如果在一台共享服务器上,则磁盘空间、处理能力、带宽等资源都是有限的,因为还有其他人一起共享这个设备。你需要确定自己是需要私有云还是公有云,以及谁在托管服务器。如果是共享服务器,那么数据就有可能和其他数据混在一起。

  8、提供商的长期可用性体现有什么保障?

  云提供商开展这个业务有多长时间了?它过往的业务表现如何?如果它在这个业务上出现问题,你的数据会面临什么问题?你的数据是否会以原始格式交回给你?

  9、如果出现安全漏洞会有什么应对措施?

  如果发生了安全事故,你可以从云提供商获得哪些支持?虽然许多提供商都宣称自己的服务是万无一失的,但是基于云的服务是极其容易受到黑客攻击的。侧向通道、会话劫持、跨站脚本和分布式拒绝服务等攻击都是云数据经常遇到的攻击方式。

  10、灾难恢复和业务持续计划是什么?

  虽然你可能不知道服务的物理位置,但是它们最终都位于某一个物理位置。所有物理位置都会面临火灾、风暴、自然灾害和断电等威胁。如果出现这些意外事件,云提供商将有什么的响应措施,他们将如何保证自己承诺的不间断服务?

  腾正C盾有效抵御DDOS恶意流量及各种类型的CC攻击,可隐藏源站ip,更好的保护源服务器安全。C盾操作方便,可跨地域使用,源站不需要做任何修改,只需修改域名解析,无论网站处于哪个机房均可使用,拥有强大的技术团队为客户提供周到的7*24小时售后服务,适合遭受CC攻击影响的企业网站、论坛网站、图文网站、电子商务平台等。现只需安全体验价999元,即可获得此防CC神器,为企业搭建良性的业务品牌信誉,建立业务安全的第一道防线。

原文来自:腾正防C盾—https://www.tzidc.com/upload//news/703.html

相关推荐:云计算也需要维权,5种辨别真假云的方法难道遇上了“假”云?解答困扰企业的云计算问题

给我发消息