存储在互联网可访问的服务器上的信息,特别是客户数据或者重要企业数据,应该使用加密技术进行妥善的保护,这不只是为了满足行业和政府法规, 而是为了维护企业利益, CloudSwitch公司的创始人兼首席技术官John Considine表示.
攻击者偷走了大约100万来自索尼账户的信息,以及Epsilon数百万的电子邮件地址以及其他信息.
“当数据位于你的数据中心,且在你的控制之下,你有访问权限控制,并且你知道谁可以访问这些数据,” Considine表示,”当你转移到云服务, 这些完全取决于别人.”
在最近的数据泄露事故中,索尼声称已经加密了所有信用卡信息,但是其他身份信息并没有进行加密, Epsilon同样没有妥善保护其数据.
你不能总是指望软件即服务供应商能够全面加密你的数据, SafeNet公司首席技术官Russ Dietz表示.
“我们仍然有很长的路要走, “ Dietz表示, “软件即服务供应商可以部署加密技术,但是将这些技术整合到他们的系统中需要花很多时间,我们仍然处于早期发展阶段.”
企业需要为他们自己的数据安全负责人,这意味着不仅要加密存储在虚拟系统的数据,而且需要使用加密来对访问这些数据的人进行适当的身份验证.
身份验证是与保护数据同样重要的,即使在rootkit允许攻击者从内部访问网络的情况下,基于公钥基础设施(PKI)的多因素身份验证也可以减小对重要数据的威胁.
几乎所有木马程序和高级持续性攻击都是基于获取身份信息的,但是如果使用了强大的身份验证和公钥基础设施, 攻击者就没办法获取数据信息了,” Dietz表示.
随着数据迅速累积,加密所有信息成为一项艰巨的任务. 大多数企业应该确定他们最有价值的数据,并从这些数据开始进行加密计划, Considine表示. 重要企业数据或者法规规定的个人识别信息应该是首要加密数据.
“企业处理信息的最佳做法应该在于确定哪些人有怎样的访问权限, 在关键区域部署加密技术, 然后严格限制谁可以访问加密组件和未加密形式的数据, “ Considine表示.
下一步就是确保存储在云服务中的数据与其他存储在企业虚拟机中的数据分隔, 因为这些数据可能共享相同的云基础设施. 虽然很多基础设施供应商声称机器是隔离带, 企业也可以添加加密技术. 如果没有额外的安全保护, 任何对其他虚拟机器有访问权的攻击者都可以访问其他系统的关键数据.
“这些类型的数据泄露中,攻击者从系统到系统移动,试图找到漏洞, “ Considine表示, “如果没有加密的话, 他们就能够获取更多相邻系统的信息. ”
在云服务环境部署加密的最后一步是减少对数据的访问,和使用强大的多因素身份验证. 良好的加密和多因素身份验证可以阻止侧重于获取企业机密的攻击者,也就是所谓的高级持续性攻击的情况.
“对于用户的身份信息,加密技术和强大的身份验证能够消除所有这些入站攻击, ”Dietz表示.
