不管是對于商業(yè)還是家庭用戶來說，云存儲正成為一種流行產(chǎn)品。如亞馬遜S3、Box、Copiun和Thru等服務擁有功能豐富的產(chǎn)品，使用戶可以輕松地備份、同步和存儲文檔和文件。

　　盡管普通消費者在使用這類服務時，不需要有太多的顧慮，但是，在選擇云存儲服務時，從加密到數(shù)據(jù)生命周期管理，組織需要解決很多安全方面的問題。企業(yè)的新興領域關注于定義和控制訪問方法以及定義實現(xiàn)基于云存儲的控制 。

　　在本文中，我們將解釋為什么云存儲訪問控制是一個重要問題，以及在制定和實施云存儲訪問控制和架構時，企業(yè)應考慮哪些問題。 我們還將討論，在云提供商情境下，如何評估訪問控制。

　　云存儲訪問控制措施

　　無論是云提供商管理員還是企業(yè)用戶，管理訪問控制應該是首要考慮的問題。 例如，Jacob Williams在2013年的Black Hat Europe會議上介紹關于Dropbox惡意軟件交付、指揮和控制問題，以及說明了自由訪問云存儲庫是危險的，可能會導致數(shù)據(jù)泄露。

　　在2012年，Mat Honan的icloud帳戶被劫持，在這次泄漏事件中，使用了社會工程技術，并可能涉及鍵盤側錄。同時，由于該事件，許多以消費者為中心的例子，訪問控制問題仍然放在第一和中心的位置。限制哪些人可以訪問云存儲，如何訪問云存儲，以及從哪里訪問云存儲，在評估云存儲方案時，這些問題都應該作為重點問題考慮。

　　● 以下是企業(yè)在實施云存儲服務時，關于訪問控制機制，企業(yè)應該關注的一系列問題：

　　● 管理工具和其他管理應用存儲的用戶密碼使用加密格式嗎？ 如果使用了加密格式，是什么類型的？加密格式經(jīng)過定期測試嗎？ 此外，存儲管理應用程序允許的密碼長度、類型和持續(xù)時間的設定與執(zhí)行？

　　● 云存儲基礎架構支持什么類型的安全連接？支持一般的安全通信協(xié)議嗎？如SSLv3 、 TLS和SSH？

　　● 活動用戶的會話是否超時？ 如果沒有一個合理的超時時間，在空閑客戶端的端點，就會存在會話劫持的風險，是相當糟糕的。

　　管理工具支持多個管理員配置，來提供細粒度的安全水平？ 管理應用程序的訪問和配置云存儲應該根據(jù)時間、日期和功能來配置選項，從而限制管理員的訪問。 所有管理員的操作應該被記錄下來，用于審計和報警，并且這些記錄應提供給企業(yè)的安全團隊。

　　云存儲管理應用程序是否有能力定義細粒度角色和特權?為了保持適當?shù)穆氊煼蛛x，以及執(zhí)行最少權限原則,這種能力應該被認為是強制性的。

　　除了這些關鍵問題，應該仔細審查云存儲基礎架構訪問方法的整體設計和架構。 企業(yè)可以考慮的一種方法是“CloudCapsule，”是一種全新的云存儲訪問控制方法，由喬治亞理工大學信息安全中心（GTISC）在“ 2014年新興網(wǎng)絡威脅報告 ”中提出。 CloudCapsule利用本地安全虛擬機，用戶可以利用訪問云存儲，數(shù)據(jù)被發(fā)送之前會自動加密。 這樣的話，用戶的本地系統(tǒng)與云服務數(shù)據(jù)交換之間在一定程度上分離開，同時也使得發(fā)送到云環(huán)境中的任何數(shù)據(jù)都會自動加密。 繼GTISC開發(fā)的模型之后，目前很多組織要求所有的云存儲服務，通過虛擬桌面基礎架構的虛擬機，可以訪問，可以使用數(shù)據(jù)丟失防護（DLP）策略進行控制與掃描 。

　　與云存儲提供商直接對接的加密網(wǎng)關，也越來越受歡迎。 例如，CipherCloud代理可以自動加密發(fā)送到Amazon的S3、RDS和EBS存儲服務的數(shù)據(jù)，并且，可以自動加密發(fā)送到存儲提供商的數(shù)據(jù)，如Box。 端點安全工具，如whitelisting和DLP代理也可以用來限制云存儲客戶端的安裝，并且，新的基于網(wǎng)絡的監(jiān)控工具，比如Skyhigh網(wǎng)絡公司可以監(jiān)控、控制云存儲服務的訪問。

　　提供商控制

　　我們已經(jīng)明確了組織如何審視云存儲訪問控制，但是，在云提供商環(huán)境內部的訪問控制措施，也應該進行仔細評估。 當評估云存儲提供商時，注意一些已經(jīng)設置得當?shù)脑L問控制和數(shù)據(jù)保護策略：

　　1、首先，管理用戶，特別是存儲管理員，在訪問存儲組件和內部區(qū)域時，應按規(guī)定，利用強大的身份驗證方法。

　　2、提供商存儲環(huán)境下，應充分利用隔離和分割技術，比如安全分區(qū)，交換機和主機的結構身份認證，超過全球通用名或者iSCSI單獨限定名的值，以及單獨的交換機和整個結構的安全管理。

　　3、云服務提供商也應確保，每位客戶的服務系統(tǒng)，與其他網(wǎng)絡區(qū)分開，不論是在邏輯上還是在物理上，互聯(lián)網(wǎng)接入、生產(chǎn)數(shù)據(jù)庫、開發(fā)和中轉區(qū)、以及內部應用程序和組件創(chuàng)建了單獨的防火墻區(qū)域。

　　結論

　　盡管基于云的存儲為企業(yè)提供了許多優(yōu)勢，但是，在將寶貴的數(shù)據(jù)傳輸?shù)皆拼鎯μ峁┥讨�前，有很多不能忽略的安全隱患。 值得慶幸的是，越來越多的安全廠商可以保證組織對云存儲進行適當?shù)脑L問控制。 只要企業(yè)事先做好準備，并且確保很好地解決了上述問題，云存儲對企業(yè)來說，是一個很大的優(yōu)勢。 

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：如何實施和評估云存儲的訪問控制措施

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839515258.html