如今,几乎所有可用的软件平台或应用程序都具有某种云功能. 他们可能会把你的数据托管在云端, 让你可以跨平台访问你的账户, 或者允许你在任何地方上传和下载文件. 这非常方便, 这也是工作场所生产力和沟通的重大突破, 但它也有自己的弱点. 安全漏洞可能会让心怀恶意的人获得您的数据.
云安全是一个复杂的主题 这包括许多不同的考虑, 包括保存数据的数据中心的物理完整性,以及允许您访问数据的软件编码. 值得信赖的云开发人员应该采取预防措施,并尽其所能提高云安全性,但开发人员应该对确保其系统的完整性负责?
云平台职责
有许多潜在的漏洞点可能危及云帐户的完整性. 然而,正如我们将看到的,并非所有这些都是云开发人员可以控制的.
让我们首先关注云开发人员和服务提供商可以切实控制的安全领域:
- 物理数据存储和完整性. 大多数云平台依赖于大规模的、高度安全的数据中心 存储用户数据并保证其安全. 因为云平台是唯一可以访问这些数据中心的平台, 他们是负责保护他们安全的人. 这通常意味着创造冗余, 使用多个备份, 和物理保护措施,以防止袭击和自然灾害.
- 软件的完整性. 云平台还负责确保软件的结构完整性. 不应该有任何编码空白,允许某人强行进入和/或操纵系统.
- API、通信和集成完整性. 任何应用程序最大的潜在缺陷之一是它与其他用户和其他集成的连接点. 如果应用程序允许消息交换,则应该使用端到端加密来保护它. 如果有任何活动的API调用要与其他应用程序集成, 这些需要高度安全.
- 用户控件和选项. 同样重要的是,云应用程序应该包含多种选项和功能,让用户负责自己的安全. 例如,这可能包括创建和管理多种类型的用户的能力 不同的管理权限.
其他的责任
然而, 在云提供商的直接控制范围之外,还有其他一些漏洞点. 例如:
- 网络加密与安全. 如果最终用户依赖于公共网络,那么云平台就无能为力了, 或者一个没有加密和强密码保护的地方. 这是一个完全落在最终用户肩上的责任.
- 硬件和端点安全性. 而软件开发过程要求开发人员对用于访问其应用程序的硬件有一定程度的了解, 他们对这些固有弱点的理解是有限的. 如果终端用户使用的是过时的设备,云平台也无能为力, 或者有大量安全漏洞的设备.
- 密码和帐号保护习惯. 创建强密码和保护自己的账户几乎完全是终端用户的责任. 如果他们最终 选择弱密码或者,如果他们从不更改这些密码,那么再多的内置安全措施也帮不了他们. 如果他们落入网络钓鱼计划的圈套,情况也是如此, 或者他们自愿把密码给了别人. 沿着类似的路线, 开发者的最终用户必须了解在线诈骗的本质, 但这通常不在他们的控制范围之内.
- 恶意软件. 当恶意软件安装在设备上时, 它可以访问设备上的其他所有内容, 包括能够监视在云应用程序中执行的操作. 除非云应用程序故意扫描恶意软件,否则它无法知道它已安装. 采取预防措施是最终用户的责任, 例如避免可疑的下载链接和安装防病毒软件来运行偶尔的扫描.
即使这些不直接在云平台提供商的控制范围内, 云计算管理机构可以采取一些步骤来改进它们, 或者减轻他们潜在的弱点. 例如, 云提供商不能保证良好的密码创建和调整习惯, 但他们或许可以教育用户养成良好密码习惯的重要性,或者强迫他们定期更新密码.
整体, 云平台应遵守高安全标准, 但他们所能控制的是有限的. Digital security in all its forms needs to be a team effort; even a single vulnerability can compromise the entire system.
编者按: 有关此主题的更多见解,请下载ISACA白皮书, 云中的持续监督.
