未來三年云安全發(fā)展將進入爆發(fā)期
盡管大多數(shù)國家的云計算普及率都在增長�,但很多企業(yè)依然不知道,云計算服務到底是什么。趨勢科技在調查時���,曾請受訪者閱讀云計算服務清單���,隨后 93%的受訪者表示,目前至少已經使用了清單中的一項服務�����。但其中也有7%表示��,自己公司并未有采用任何云計算服務的計劃����。可見�,仍有部分用戶無法辨識其所使用的就是云計算服務。
至于保護位于云端的敏感信息���,企業(yè)依靠的是加密��。有85%的受訪者表示���,他們存放在云端的數(shù)據(jù)都會加密。而且有半數(shù)以上的受訪者表示���,在全面采用云服務之前�,會優(yōu)先考慮采用已經提供了數(shù)據(jù)儲存設備加密服務的云服務供應商��。但即便如此��,目前云服務所采用的加密密鑰管理技術仍不夠成熟�,具有許多弱點。
大多數(shù)企業(yè)使用某些形式的API密鑰來訪問云服務�����。這些API密鑰的保護十分重要����。事實上,在2011年API密鑰的重要性逐漸被意識到��,各企業(yè)對全力保護這些密鑰的認識也加深了����。畢竟,API密鑰與訪問云中的敏感信息有著直接關聯(lián)�。如果一家企業(yè)的API密鑰管理松散,那么企業(yè)就處于這些威脅之下:1.未驗證用戶使用密鑰訪問秘密信息;2。對費用支用撥款制服務的未授權訪問可能形成巨額信用卡賬單�。
眾所周知,許多云服務都是通過簡單的REST Web服務界面訪問�。通常我們將之稱為API,因為它們與C++或VB中重量級API的概念類似�。不過用戶更易于在Web頁面或移動手機上使用這些API。簡而言之����,API密鑰是用來訪問云服務的。Gartner公司的Darryl Plummer認為云技術要將各種服務綜合起來�����。各公司想將本地運行的應用與云服務連接����,將云服務與云服務連接。所有這些連接都應該是安全的����,且其性能應得到監(jiān)管。
顯然API密鑰控件是觸及云服務重要內容的工具�,但是這些密鑰經常通過郵件發(fā)送或是保存在文件服務器中供多數(shù)人使用。例如��,如果某企業(yè)正使用SaaS產品,如Gmail�,他們通?��;貜腉oogle獲取API密鑰�����。這一API密鑰僅對該企業(yè)有效���,且能讓員工登錄和訪問公司郵箱���。
業(yè)內專家表示,早在幾年前����,云計算概念剛開始興起的時候,安全就是討論最多的問題���,而現(xiàn)在安全仍然是讓開發(fā)人員最頭痛的問題��。
IBM杰出工程師Mac Devine表示���,從專用設施過渡到云計算中的共享環(huán)境�,意味著開發(fā)人員必須在其應用程序中建立足夠的安全性����,開發(fā)人員不應該認為公共云供應商能夠保護數(shù)據(jù)的安全性。
