如何实施和评估云存储的访问控制措施?

日期:2014-3-6作者:Dave Shackleford

【TechTarget中国原创】

不管是对于商业还是家庭用户来说,云存储正成为一种流行产品。如亚马逊S3、Box、Copiun和Thru等服务拥有功能丰富的产品,使用户可以轻松地备份、同步和存储文档和文件。

尽管普通消费者在使用这类服务时,不需要有太多的顾虑,但是,在选择云存储服务时,从加密到数据生命周期管理,组织需要解决很多安全方面的问题。企业的新兴领域关注于定义和控制访问方法以及定义实现基于云存储的控制 。

在本文中,我们将解释为什么云存储访问控制是一个重要问题,以及在制定和实施云存储访问控制和架构时,企业应考虑哪些问题。 我们还将讨论,在云提供商情境下,如何评估访问控制。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

云存储>更多

  • 谷歌云存储降价:与Glacier竞争冷存储市场

    随着谷歌对自己的云存储产品重新分了类,最近又新增了一个冷存储层级以吸引企业客户,该公司正在回归价格才是决定因素的这一云战略。

  • OpenStack对象存储评估:Swift对阵Ceph

    两种最常见的OpenStack存储选项分别是作为OpenStack项目一部分的Swift,以及独立的开源系统Ceph。这两个选项都提供对象存储,并且可以免费下载。

  • AWS冷存储成本知多少

    专用高速网络连接,如AWS Direct Connect,可以在数据中心和AWS云设备之间建立专用连接。以太网连接绕过了公共互联网,避免了瓶颈和拥塞,这往往降低了带宽,也降低了数据传输性能。

  • 好坏你评判:QingStor对象存储服务正式商用 12个月免费试用

    日前,青云QingCloud宣布,QingStor对象存储服务(Object Storage)现已正式商用,用户能够获得可无限扩展、安全可靠、低成本、高性能的通用数据存储服务。此外,CDN加速服务也已同步推出。

相关推荐

  • IBM推出混合存储:意在解决企业实际问题

    蓝色巨人已经在云存储的曲线后面,但它认为混合方法吸引企业将仍然依赖于自己的数据中心。

  • 联想企业网盘:只做数据的搬运工

    联想企业网盘是基于云存储的企业文件协同与管理平台,企业借助该平台可以为员工提供个人数据存储、分享服务,保护数据安全;也可以按照企业组织架构组建企业级、部门级、项目级的协同工作服务,提高数据处理效率。

  • 默认IOPS如何影响AWS存储性能?

    AWS云提供了几种管理资源的方法,但关键的是为每一个工作负载选择合适类型的计算或存储实例,那么什么样的才是合适的类型?

  • 五步控制云存储成本

    存储是首批获得企业认可的公有云服务之一。市场最初在Dropbox和Carbonite这样的厂商带领下,企业开始在云中囤积信息,并且使用率不断增长。

技术手册>更多

  • 购买云服务注意事项指南

    如果你需要数据中心有更多的计算或存储容量,但资本费用却成问题,那么公共云计算服务是一个很不错的选择。你可以根据需要获得可无限扩展的IT资源,只要为实际使用的那部分付费。但是在公共云中运行企业应用程序并不像有些提供商所说的那么简单。这本指南中的这些实用的指导准则探讨了购买云服务时要考虑的方面以及要提出的问题。

  • 云计算提供商OpenFlow指南

    软件定义网络(SDN)以及其最清晰可见的协议OpenFlow已经引发了热烈的讨论。几乎每一个主要的路由器和以太网交换机厂商都宣布“支持”OpenFlow,引出了数个会议的召开和初创公司的成立。作为主要的云运营商,比如谷歌和威瑞森(Verizon)已经测试和部署OpenFlow,其他的网络运营商和提供商急于知道在所有的兴奋点之下,是否有实体产生,尤其是这个实体有哪些本质的好处。在《云计算提供商OpenFlow指南》中,我们将简要介绍OpenFlow与SDN的关系,以及OpenFlow与云计算的关系,同时提供一些OpenFlow云提供商。

  • Windows Azure应用开发实践指南

    在2012年闰年宕机和可能更名的混乱电子邮件之后,很多人认为微软就是不可靠。但是微软采取了很多磕磕绊绊的动作,颠覆了Windows Azure,微软在公有云计算平台上充满野性的成功,随着其和Windows Server 2012实现无缝绑定,其战略重要性逐渐凸显,Azure有望处理变化不定的计算负荷。在2013年的云计算大会上,微软宣布Windows Azure公众预览版正式开放注册,这意味着微软已经成为在中国市场中唯一一家能够提供企业内部部署和混合云服务的厂商。在这本技术手册中,我们将介绍Windows Azure的最新升级和价格情况,以及Windows Azure一些主要功能的应用实践案例,最后我们会关注Windows Azure的整体市场情况。

  • 网格计算入门指南

    业务周期的速度和不可预测性已经使很多企业的管理能力逼近了极限。企业需要更具适应性,但他们信息系统的响应速度往往较慢。同时,这些企业希望借助IT系统获得更高的效率,并降低计算成本。

      网格计算是一种新的IT体系结构,它能够适应不断变化的业务需求。网格计算还为IT经济带来了革命性的变化。通过企业网格计算,您可以使用可随需应变的灵活成本结构构建一个功能强大的数据中心。

      虚拟化是关于运行时部署的效率,注重提供方便。因为企业逐渐转向应用SOA,所以它们会寻求服务周期的管理方式,这其中可能就包括调用虚拟容器作为服务、数据、甚至SOA基础设施本身(如虚拟化软件产品)的运行时间。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】

不管是对于商业还是家庭用户来说,云存储正成为一种流行产品。如亚马逊S3、Box、Copiun和Thru等服务拥有功能丰富的产品,使用户可以轻松地备份、同步和存储文档和文件。

尽管普通消费者在使用这类服务时,不需要有太多的顾虑,但是,在选择云存储服务时,从加密到数据生命周期管理,组织需要解决很多安全方面的问题。企业的新兴领域关注于定义和控制访问方法以及定义实现基于云存储的控制 。

在本文中,我们将解释为什么云存储访问控制是一个重要问题,以及在制定和实施云存储访问控制和架构时,企业应考虑哪些问题。 我们还将讨论,在云提供商情境下,如何评估访问控制。

云存储访问控制措施

无论是云提供商管理员还是企业用户,管理访问控制应该是首要考虑的问题。 例如,Jacob Williams在2013年的Black Hat Europe会议上介绍关于Dropbox恶意软件交付、指挥和控制问题,以及说明了自由访问云存储库是危险的,可能会导致数据泄露。

在2012年,Mat Honan的icloud帐户被劫持,在这次泄漏事件中,使用了社会工程技术,并可能涉及键盘侧录。同时,由于该事件,许多以消费者为中心的例子,访问控制问题仍然放在第一和中心的位置。限制哪些人可以访问云存储,如何访问云存储,以及从哪里访问云存储,在评估云存储方案时,这些问题都应该作为重点问题考虑。

管理工具支持多个管理员配置,来提供细粒度的安全水平? 管理应用程序的访问和配置云存储应该根据时间、日期和功能来配置选项,从而限制管理员的访问。 所有管理员的操作应该被记录下来,用于审计和报警,并且这些记录应提供给企业的安全团队。

云存储管理应用程序是否有能力定义细粒度角色和特权?为了保持适当的职责分离,以及执行最少权限原则,这种能力应该被认为是强制性的。

除了这些关键问题,应该仔细审查云存储基础架构访问方法的整体设计和架构。 企业可以考虑的一种方法是“CloudCapsule,”是一种全新的云存储访问控制方法,由乔治亚理工大学信息安全中心(GTISC)在“ 2014年新兴网络威胁报告 ”中提出。 CloudCapsule利用本地安全虚拟机,用户可以利用访问云存储,数据被发送之前会自动加密。 这样的话,用户的本地系统与云服务数据交换之间在一定程度上分离开,同时也使得发送到云环境中的任何数据都会自动加密。 继GTISC开发的模型之后,目前很多组织要求所有的云存储服务,通过虚拟桌面基础架构的虚拟机,可以访问,可以使用数据丢失防护(DLP)策略进行控制与扫描 。

与云存储提供商直接对接的加密网关,也越来越受欢迎。 例如,CipherCloud代理可以自动加密发送到Amazon的S3、RDS和EBS存储服务的数据,并且,可以自动加密发送到存储提供商的数据,如Box。 端点安全工具,如whitelisting和DLP代理也可以用来限制云存储客户端的安装,并且,新的基于网络的监控工具,比如Skyhigh网络公司可以监控、控制云存储服务的访问。

提供商控制

我们已经明确了组织如何审视云存储访问控制,但是,在云提供商环境内部的访问控制措施,也应该进行仔细评估。 当评估云存储提供商时,注意一些已经设置得当的访问控制和数据保护策略:

  1. 首先,管理用户,特别是存储管理员,在访问存储组件和内部区域时,应按规定,利用强大的身份验证方法。
  2. 提供商存储环境下,应充分利用隔离和分割技术,比如安全分区,交换机和主机的结构身份认证,超过全球通用名或者iSCSI单独限定名的值,以及单独的交换机和整个结构的安全管理。
  3. 云服务提供商也应确保,每位客户的服务系统,与其他网络区分开,不论是在逻辑上还是在物理上,互联网接入、生产数据库、开发和中转区、以及内部应用程序和组件创建了单独的防火墙区域。

结论

尽管基于云的存储为企业提供了许多优势,但是,在将宝贵的数据传输到云存储提供商之前,有很多不能忽略的安全隐患。 值得庆幸的是,越来越多的安全厂商可以保证组织对云存储进行适当的访问控制。 只要企业事先做好准备,并且确保很好地解决了上述问题,云存储对企业来说,是一个很大的优势。