未來三年云安全發(fā)展將進(jìn)入爆發(fā)期
盡管大多數(shù)國家的云計算普及率都在增長��,但很多企業(yè)依然不知道,云計算服務(wù)到底是什么��。趨勢科技在調(diào)查時��,曾請受訪者閱讀云計算服務(wù)清單�,隨后 93%的受訪者表示,目前至少已經(jīng)使用了清單中的一項服務(wù)�。但其中也有7%表示,自己公司并未有采用任何云計算服務(wù)的計劃��?����?梢?,仍有部分用戶無法辨識其所使用的就是云計算服務(wù)。
至于保護(hù)位于云端的敏感信息��,企業(yè)依靠的是加密�����。有85%的受訪者表示�,他們存放在云端的數(shù)據(jù)都會加密。而且有半數(shù)以上的受訪者表示���,在全面采用云服務(wù)之前���,會優(yōu)先考慮采用已經(jīng)提供了數(shù)據(jù)儲存設(shè)備加密服務(wù)的云服務(wù)供應(yīng)商��。但即便如此�����,目前云服務(wù)所采用的加密密鑰管理技術(shù)仍不夠成熟�,具有許多弱點����。
大多數(shù)企業(yè)使用某些形式的API密鑰來訪問云服務(wù)。這些API密鑰的保護(hù)十分重要�。事實上,在2011年API密鑰的重要性逐漸被意識到����,各企業(yè)對全力保護(hù)這些密鑰的認(rèn)識也加深了。畢竟��,API密鑰與訪問云中的敏感信息有著直接關(guān)聯(lián)�����。如果一家企業(yè)的API密鑰管理松散��,那么企業(yè)就處于這些威脅之下:1.未驗證用戶使用密鑰訪問秘密信息;2����。對費用支用撥款制服務(wù)的未授權(quán)訪問可能形成巨額信用卡賬單。
眾所周知���,許多云服務(wù)都是通過簡單的REST Web服務(wù)界面訪問�。通常我們將之稱為API���,因為它們與C++或VB中重量級API的概念類似���。不過用戶更易于在Web頁面或移動手機上使用這些API。簡而言之����,API密鑰是用來訪問云服務(wù)的。Gartner公司的Darryl Plummer認(rèn)為云技術(shù)要將各種服務(wù)綜合起來�。各公司想將本地運行的應(yīng)用與云服務(wù)連接,將云服務(wù)與云服務(wù)連接�。所有這些連接都應(yīng)該是安全的,且其性能應(yīng)得到監(jiān)管�。
顯然API密鑰控件是觸及云服務(wù)重要內(nèi)容的工具,但是這些密鑰經(jīng)常通過郵件發(fā)送或是保存在文件服務(wù)器中供多數(shù)人使用�。例如,如果某企業(yè)正使用SaaS產(chǎn)品����,如Gmail���,他們通常回從Google獲取API密鑰����。這一API密鑰僅對該企業(yè)有效,且能讓員工登錄和訪問公司郵箱���。
業(yè)內(nèi)專家表示��,早在幾年前����,云計算概念剛開始興起的時候��,安全就是討論最多的問題�����,而現(xiàn)在安全仍然是讓開發(fā)人員最頭痛的問題�����。
IBM杰出工程師Mac Devine表示�,從專用設(shè)施過渡到云計算中的共享環(huán)境,意味著開發(fā)人員必須在其應(yīng)用程序中建立足夠的安全性�����,開發(fā)人員不應(yīng)該認(rèn)為公共云供應(yīng)商能夠保護(hù)數(shù)據(jù)的安全性����。
