如今,几乎每个可用的软件平台或应用程序都具有某种云计算功能。他们可能将企业的数据托管在云中,使企业可以跨平台访问您的帐户,或者允许在任何地方上传和下载文件。
这非常方便,并且是在工作场所提高生产力和沟通的重大突破,但同时也存在一些漏洞。一个安全漏洞可能使企业的数据可供恶意目的的人使用。
云安全是一个复杂的主题,包含许多不同的注意事项,包括保存数据的数据中心的物理完整性以及允许企业访问它的软件的编码。值得信赖的云计算开发人员应采取预防措施,并尽努力提高云安全性。但是,开发人员对确保系统完整性应承担的责任有多大?
云平台责任
存在许多潜在的漏洞点,这些漏洞可能会损害云计算帐户的完整性。但是,并非所有的云计算开发者都可以控制它们。
让我们从关注云计算开发人员和服务提供商可以切实控制的安全领域开始:
- 物理数据存储和完整性。大多数云平台都依赖大规模、高度安全的数据中心,它们在其中存储用户数据并确保其安全。由于云平台是唯一可以访问这些数据中心的平台,因此它们是负责确保其安全的平台。这通常意味着要创建具有多个备份的冗余,并采取物理保护措施来防御攻击和自然灾害。
- 软件完整性。云平台还负责确保软件的结构完整性。不应存在任何编码空白,以免有人强行进入和/或操纵系统。
- API、通信和集成完整性。任何应用程序中比较大的潜在缺陷之一就是其与其他用户和其他集成的连接点。如果该应用允许消息交换,则应使用端到端加密对其进行保护。如果有任何活动的API调用与其他应用程序集成,则这些调用必须高度安全。
- 用户控件和选项。对于云计算应用程序来说,包括多个选项和功能以供用户自己负责安全性也很重要。例如,这可能包括创建和管理具有不同管理权限的多种类型的用户的能力。
其他职责
但是,在云计算提供商直接控制的范围之外,还有其他一些漏洞。例如:
- 网络加密和安全性。如果最终用户依赖公共网络,或者没有加密和强密码保护的云平台,那么云平台将无能为力。这项责任完全落在最终用户的身上。
- 硬件和端点安全性。尽管软件开发过程要求开发人员对用于访问其应用程序的硬件有一定程度的了解,但他们对这些固有漏洞的了解有限。如果最终用户使用过时的设备或存在重大安全漏洞的设备,那么云平台也无能为力。
- 密码和帐户保护习惯。最终用户的职责几乎完全是创建强密码并保护自己的帐户。如果他们最终选择了弱密码,或者如果他们从不更改这些密码,那么内置的安全措施将无济于事。如果它们属于网络钓鱼方案,或者他们自愿将密码提供给某人,则同样如此。同样,开发人员的最终用户必须了解在线欺诈的本质,但这通常超出了他们的控制范围。
- 恶意软件。将恶意软件安装在设备上后,它就可以访问该设备上的其他所有内容,包括能够监视在云计算应用程序内执行的操作。除非云计算应用程序故意扫描恶意软件,否则它无法告诉已安装恶意软件。采取预防措施是最终用户的责任,例如避免可疑的下载链接以及安装防病毒软件以运行偶尔的扫描。