與從云服務供應商處得到的安全相比����,同樣的安全控制在企業(yè)內部實現(xiàn)可能會更昂貴。不管云供應商提供了什么樣的安全水平����,理解這個問題很重要:安全并不是“一錘子買賣”���,而是一個過程,因而企業(yè)需要在云服務的兩端實施安全�����,即:為保障數(shù)據(jù)的安全性���,終端用戶(進一步稱為云服務用戶)仍需要采取同樣的行動���。
數(shù)據(jù)總在無休無止地創(chuàng)建過程,我們還必須考慮如何保護數(shù)據(jù)的機密性��、完整性����、可訪問性。在創(chuàng)建數(shù)據(jù)時���,我們需要假設一些可能發(fā)生的最糟糕的情況�,其中包括但不限于數(shù)據(jù)泄露�、未授權訪問、完全喪失對數(shù)據(jù)的訪問��,等等。未授權的訪問意味著喪失了對數(shù)據(jù)的控制��。數(shù)據(jù)處理的一個副作用就是生成了額外的副本��,例如在硬盤上的交換內存�、臨時文件,或者是我們用以處理數(shù)據(jù)過程的內存����。在基于云的方案中,關于數(shù)據(jù)處理的另一個必須考慮到的副作用就是元數(shù)據(jù)的創(chuàng)建�����。即使簡單的處理也能產(chǎn)生大量的元數(shù)據(jù)����。如今�����,收集元數(shù)據(jù)成為一項艱巨的任務��,這意味著元數(shù)據(jù)也要求某種形式的保護��,特別是由于元數(shù)據(jù)包含敏感信息,所以對其保護顯得尤為重要����。其次,從安全的觀點看�����,加密和解密的位置與時間極為重要�。如果加密發(fā)生在云端,企業(yè)就必須提供安全措施���,將未加密的數(shù)據(jù)發(fā)送到其中����。
在談到數(shù)據(jù)泄露或未授權的訪問時��,我們首先想到的是加密�。由于加密是從軍事領域進入企業(yè)的,所以加密往往被誤解���,并被描述為一種很有魔力的可以解決所有安全問題的方案�����。但這種方法從開始就是有瑕疵的�。下面展開討論其中的諸多因素。
1.不安全的過程
用復雜的方案解決復雜問題并不是簡單任務����,在我們試圖通過加密解決安全問題時尤其如此。安全始于信息處理過程��。如果設計過程不合理����,加密會安全嗎?例如��,如果你要求用戶使用過長的復雜口令��,用戶就會找到一種不安全的方法繞過去��。此處的原則是終端用戶的體驗對安全來說至關重要:控制應當允許用戶快速完成任務而不帶來太多障礙���。企業(yè)的業(yè)務人員也喜歡這種方法,因為它可以長久地使利潤最大化���。
口令策略與加密有什么關系呢�?雖然從安全的觀點看,口令已成“過去式”�����,但是口令仍在使用中��,而且還很強健�����。用戶如何登錄到移動設備�����?難道不是用PIN��?用戶如何登錄到社交賬戶或云中的電子郵件賬戶����?問題的寓意在于:如果你使用口令來保護對數(shù)據(jù)的訪問,就需要保障口令的安全�����,并且經(jīng)常更換。云方案并不會使口令完全消失�����。
2.用戶教育和安全意識
不管你是如何巧妙地設計過程和實施過程��,都不能忽視人的因素����。正如愛因斯坦所言,有兩件事情是永恒的,就是宇宙和人類的愚蠢,對于前者我并不太了解��。如果用戶能夠在惡意軟件彈出的窗口中多次輸入口令�,就不要期望加密會阻止其這樣做。如果再強調加密的作用就是在自欺欺人���。用戶們必須認識到威脅��,并且理解如何處理控制才能保證安全��。釣魚攻擊正被一些類似惡意軟件的攻擊所利用�。在惡意軟件防護問題上這尤其重要����。除非云服務供應商在其云服務和客戶系統(tǒng)上提供惡意軟件的防護,否則,對于終端用戶的惡意軟件防護來說�����,可做的很少���。當然���,客戶必須安裝最新的安全方案。掃描上傳到云服務的文件或數(shù)據(jù)并不能阻止終端系統(tǒng)受到惡意軟件的感染��。因而���,惡意軟件不但可以感染系統(tǒng)����,還能夠從云服務的客戶端竊取未加密的數(shù)據(jù)�����,并且可以竊取需要云服務訪問的信息��,還能破壞云服務����。
3.不安全的架構
再次談到云服務供應商����。整個系統(tǒng)的架構(其中包括密碼系統(tǒng))對于最終的安全水平都至關重要����。在多數(shù)情況下,要保障數(shù)據(jù)一直處于加密狀態(tài)并不可行�,因而,解密過程在應對未授權的訪問和數(shù)據(jù)泄露風險時就顯得尤為重要�����。企業(yè)應遵循如下的最佳實踐:
(1)部署多層防御����,僅有加密這一層還遠遠不夠。
(2)盡可能在一個地方加密和解密數(shù)據(jù)�����,例如���,這樣做會限制有些信息沒有被正確加密的風險���,而且還要以使安全審計更容易���。
(3)要保護好加密密鑰和IV(初始向量)���。
(4)確保實施強健的隨機數(shù)字生成器�。
(5)如果可行的話��,不要使公眾使用全部功能����,從而限制攻擊面。
很明顯���,上述清單并沒有包含所有的最佳實踐��。有些最佳實踐與服務類型或云服務的經(jīng)營模式有緊密聯(lián)系���。
4.脆弱協(xié)議和算法
從安全的觀點看,如果實施和部署不當��,即使最佳的架構仍有可能成為隱患�����。例如,一些不安全協(xié)議和算法的使用�����,如SSH的老版本等��。幸運的是��,有些廠商開始禁止對不安全協(xié)議的支持���。
另一個問題是���,由于密鑰太短小或生成方式不強大,就有可能造成企業(yè)的協(xié)議很強健而其密鑰很脆弱������?傊灰褂锰绦〉拿荑�����,因為其容易被破解。如果攻擊者自身缺乏計算能力����,他完全可以購買云服務,從而可以使其快速地破解短密鑰�。
5.隨機數(shù)的隨機性不強
如果不使用基于硬件的方案,對計算機來說隨機數(shù)的生成并不是容易的任務����。多數(shù)編程語言都提供隨機函數(shù)��,但這類函數(shù)并不安全����,因而不應用于密碼系統(tǒng)中。簡言之��,脆弱的隨機數(shù)生成器可以使整個密碼系統(tǒng)不安全��,并易于被破解����,因為這可以使攻擊者正確地猜測到生成器的結果和種子的初始向量,從而使密碼分析攻擊更容易����,并且使攻擊者可以破壞整個加密過程�。 ..
|
