如果你是一名正在搭建新的雲計算服務的工程師,或者是一名正在評估服務提供商的安全策略的潛在使用者,下列八大戒條可以使你避免在雲服務**現安全漏洞,這些漏洞已經導致賬戶資訊失竊和敏感資訊洩露。
不要寄希望於得到全面的戒條清單,現在的這張清單只能幫助你把漏洞縮小到最小的範圍內。如果服務要求高於hipaa或pci規範等標準安全措施,就應該把那些不能遵守這些簡單規則的廠家驅逐出外或提出異議。
一、不要忘給密碼加鹽
加密鹽是在用單項函式加密前,將一根字串加到密碼上。這是乙個非常重要的元素,可以保護密碼。今年6月,linkedin非常吃驚地發現,有650萬使用者的密碼公布在乙個俄羅斯使用者論壇上。這些密碼都沒有加鹽,使用簡單的詞典式攻擊或類似技術就能馬上侵入60%的密碼。在實施和操作方面,給密碼加鹽是件小事,人們常常忽略給現代系統的密碼加鹽。
二、不要使用md5雜湊演算法給密碼加密
晶元製造商恩威迪亞(nvidia)承認,7月初其論壇上有400,000使用者的密碼被竊取,這些密碼都沒有加鹽,用md5雜湊演算法給密碼加密。早在7年前,著名計算機安全專家bruceschneier就宣布了md5失效,目前人們普遍認為md5「成事不足,敗事有餘」。最好的做法是要求使用更為複雜的bcrypt之類的跨平台檔案加密工具進行加密。
三、不良設計方案也會暴露敏感資料
新式使用者介面架構鬆散,可能會變成無意識的資訊洩露平台。隨著ajax技術使用量的增加,網路和移動應用程式常常能把大量資料「推到」終端使用者裝置上,用來支援多個檢視和操作,而無需發出新的請求。如此一來,就能帶來更佳的使用者體驗和更快的應用程式響應速度。
然而,這些技術的不當使用可能導致敏感資訊的洩露,讓看起來有效保護的系統更加脆弱。
四、不要使用通用金鑰給多使用者資料加密
如果辦公樓中的每個房間都使用同一把鎖,每個租戶領的鑰匙也一樣,這樣的辦公室沒有人會租用。同理,在給雲計算中的敏感資料加密時,應該堅持用其自己特定的金鑰進行加密。因多使用者的資料而使用通用加密金鑰使所有這些使用者遭受額外的洩露風險。如果有乙個用通用金鑰加密的物件成功遭到襲擊的話,那麼每乙個使用同乙個通用金鑰加密的其它物件都會成為潛在的受害者。
在多租戶平台上,這一點尤為重要,因為很有可能一名或多名使用者或租戶故意洩露通用金鑰,並由此獲取其它租戶的資料。
亞馬遜(amazon)的伺服器端加密支援(serversideencryptionsupport),為每個物件儲存資訊時都使用通用金鑰,就是乙個合理設計的範例。但是,並不是每乙個為加密敏感資訊買單的廠家都堅持這個立場。
五、不要無限期地使用重置令牌
每一項與個人使用者和密碼有關的服務都需要某種形式的密碼重置。密碼重置一般採用「重置鏈結」或向提出重設密碼申請的使用者的電子郵箱傳送「臨時密碼」等方法。最佳做法是在一段時間後使臨時憑證國企,但大多數服務不能堅持遵循這種原則。
本月雅虎的洩露事件表明,電子郵件賬戶是病毒和惡意軟體傳播、身份資訊盜竊的主要目標。設計科學的雲服務應該避免將有效密碼儲存在電子郵件中的時間超過必要的密碼重設時間。15分鐘後密碼失效是乙個很好的方法。
六、不要將使用者密碼儲存在移動裝置或共享工作站
在安全與可用性孰輕孰重問題上,安全的問題常常讓步於終端使用者對可用性的要求。當雲計算服務安裝在共享工作台或移動裝置的應用程式上,使用者常常希望只需一次就能登入到雲服務上。然而,如果應用程式能讓使用者無限期地獲得驗證,就必須用一種不安全的方法存留使用者密碼,使得服務的安全性依賴於裝置的安全性。
如果在重啟或退出登入後,應用程式可以儲存和讀出密碼,那麼訪問裝置的攻擊者也能這麼做。諸多證據證明不應該將裝置的實際占有等同於授權服務。
七、不要存留身份認證令牌
最後一條戒律解決了使用者密碼儲存問題,確保密碼不會因為惡意使用者訪問同乙個工作站而被竊取。這條戒律與最後一條類似,但是提醒我們在保護密碼的同時通過其它持續方法允許驗證,這兩種方法都可能「貽誤時機」。
dropbox**也由於無法堅持這個做法,而遭到**負面的報道。dropbox**使用者發現,僅僅複製受害人電腦的乙個檔案就可以秘密獲得任何人賬戶中的所有檔案。
八、一定支援與最新流程的整合
有一句安全方面的老格言這樣說道;「你讓某事變得更安全,它就會變得更不安全。」原因何在?因為如果安全礙事的話,善意的使用者也會想出變通的方法破壞安全。因此,粘在監視器前面的密碼和**站會造成一發不可收拾的結局。
我們把這些經驗教訓運用到雲計算服務領域,意味著必須用新型工具和工作流整合來支援使用者的需求。如果不想讓使用者從雲計算服務中載入敏感檔案、把敏感檔案傳送給同事的話,那麼雲服務就必須提供分配和協作的便利方法。如果不想讓使用者共享一套共同的憑證,那麼就要讓認證和授權過程盡量簡化。
對於雲計算服務提供商來說,這還只是開始。很多提供商在進入市場時在安全方面偷工減料。今天,如果在評估雲計算服務提供商的安全策略時進行盡職調查,就可以達到未雨綢繆的效果。如果你正在搭建雲服務,那麼堅持上述八條戒律則就會實現良好的開局。
多智時代-人工智慧和大資料學習入門**|人工智慧、大資料、物聯網、雲計算的學習交流**
需要掌握的八個DOS命令
一 ping 它是用來檢查網路是否通暢或者網路連線速度的命令。作為乙個生活在網路上的管理員或者黑客來說,ping命令是第乙個必須掌握的dos命令,它所利用的原理是這樣的 網路上的機器都有唯一確定的ip位址,我們給目標ip位址傳送乙個資料報,對方就要返回乙個同樣大小的資料報,根據返回的資料報我們可以確...
需要掌握的八個CSS布局技巧
1.若有疑問立即檢測 在出錯時若能對原始 做簡單檢測可以省去很多頭痛問題。w3c對於xhtml與css 都有檢測工具可用,請見 http validator.w3.org 請注意,在檔案開頭的錯誤,可能因為不當的結構等因素造成更多錯誤 我們建議先修正一些最明顯的錯誤之後重新檢測,這樣也許會讓錯誤數量...
需要更換DRaaS供應商的八個跡象
雲計算災難恢復市場日益增長,每個 商都提供不同級別的服務和支援。以下是可能表明你的 商需要被更換的八個因素。1 災難恢復即服務 draas 商的安全措施不足以說服你繼續使用該環境。在災難期間保護資料通常是遷移到雲端的最重要的原因,而保護不足是放棄該服務的主要原因。如果你無法確認你的系統 特別是虛擬化...