安全公 司Sophos的2013年威脅報告警告稱,企業在部署雲服務時,將面臨新的數據安全風險。企業應該在合同談判階段就解決這些風險,也就是在數據轉移到服 務供應商的大規模數據中心之前。該安全公司高級安全顧問Chester Wisniewski表示,在某些情況下,雲服務增加了企業的攻擊面,並且,削弱了已有的安全控制和政策。
Wisniewski表示:“企業應該多花時間與律師溝通,以確保企業的所有需求都得到滿足,同時,確保合同中明確列出企業的所有要求,這樣,當發生事故時,雙方都知道自己的責任所在。”他表示,企業在部署雲服務時需要考慮三個問題。
1.如何防止信息洩露?
Dropbox等服務使員工能夠輕松地存儲和 共享包含企業數據的文檔。最初企業試圖“鎮壓”第三方服務(例如Dropbox),但現在企業開始接受這些服務,同時添加了控制(例如加密)以確保敏感數 據不會落入壞人手中。Wisniewski表示,企業應該正確部署數據保護安全技術,並使用戶的操作簡單,他表示,“你需要確保數據在上傳到雲端前是安全 的。”
Wisniewski認為,基於雲計算的服務能夠增強企業原本“支離破碎的”數據安全辦法。企業可以通過多種方法部署安全控制,確保員工能安全地使用移動 設備訪問數據或者遠程進入雲中系統。一款蘋果iPad應用可以提供加密和解密功能以多一層保護,通過這種應用,他表示:“財務、銷售和營銷人員不必具備高 超的加密技術就可以保護數據。”
2.在合同要求中,是否規定雲供應商需要接受適當的審查,是否明確了安全標准?
有針對性的攻擊者已經了解到,業務合作伙伴(通常是服務於大型企業的小企業)是進入大型企業網絡的“突破口”。 Wisniewski表示,航空航天和國防行業的零部件制造商、運輸商和供應商都可能被攻擊者利用。“網絡罪犯已經意識到,大型企業的業務合作伙伴通常都 是小公司,他們的安全防線松懈,但仍然是大型企業受信任的實體,這已經成為一個真正的問題。”
合同中應該明確企業可以檢查第三方的系統是否已經經過審查,以及是否具有適當的安全控制。雲供應商應該提供證據證明他們符合安全標准,並提供一種機制允許企業進行獨立測試。Wisniewski表示:“有些企業在信用卡洩露事故的數月內才進行PCI評估,最後的結果顯示合規性沒有得到應有的重視。”
數據保留、故障轉移、事件響應程序、系統監控和維護都應該在合同協議中進行明確地規定,以確保當企業與雲服務供應商的關系有變化時,企業有辦法取出數據,並轉移到另一個供應商處。