老司机揭秘云通信的安全隐患和解决之道
时间:2017-05-09
(转载自网易客户端,如有侵权请联系删除)
2013年,大名鼎鼎的云计算安全联盟CSA发布报告总结了云计算发展过程中可能遇到的安全隐患。这说明安全永远是互联网行业无法避免的核心问题。自从互联网诞生以来就一直伴随。作为云计算的重要应用之一——云通信已经成为主流通信方式,它的应用带给我们极大的便利,尤其是针对企业级用户大大降低了他们的成本且提高了效率。但与此同时,发展于云计算的云通信服务对于安全隐患基本上是一脉相承的。
所以有必要结合CSA 和云通信老司机的经验给大家总结一下云通信目前存在的安全隐患和解决方法。
自然我们还是先分析一下云通信存在的安全隐患有哪些?
一、数据隐患
对于现今的云通信平台来说无论是提供 SaaS 服务还是 PaaS 服务或者是SaaS、PaaS 混合服务。用户均需要导入大量数据资料,以及实时产生海量的数据反馈信息。不怀好意的黑客针对数据的攻击无论是服务商和用户都是极其危险的行为,如黑客攻击劫持用户账户,删除数据信息或者是将其泄露在整个互联网上,都会给用户和服务商造成非常大的损失。
二、接口隐患
云通信平台提供 API 接口是现在的通行模式。用户和第三方会利用 API 对云服务进行配置、管理、和监控。API 对一般云服务的安全性和可用性来说极为重要。用户和第三方因而经常在这些接口的基础上进行开发,并提供附加服务。这为接口管理增加了复杂度。如果这种做法要求企业将登录资料交给第三方,以便相互联系,因此其也加大了风险。
三、管理隐患
据观察在使用云通信平台的企业用户中大多管理人员均是在职员工或业务合作者,甚至有临时工的现象。通常来说这样的内部人员拥有比外部人员更高的访问级别,可以轻而易举的接触到重要的系统,最终访问数据。如果他们道德素养不高或者是和企业发生矛盾,存在报复心理,就可以轻易的造成很大的破坏。
四、服务滥用隐患
这里指的滥用主要指的是一些不法分子会使用云通信平台来发布一些不良信息内容。这种情况几乎从云通信平台发展起来的第一天就已经凸显。相比于传统的运营商接入的难度。无疑云通信平台的接入更加方便快捷,不法分子正式看上了这一点,才会利用云通信平台传播恶意的不良信息内容。对于这种情况只能是服务商加强监管,尽可能降低不良信息内容的传播。
五、共享隔离隐患
云通信服务商经常共享基础设施、平台和应用程序,并以灵活扩展的方式来交付服务。但是共享技术的安全漏洞很有可能存在于所有云通信的交付模式中,无论构成数据中心基础设施的底层部件是可重新部署的平台PaaS还是多用户应用程序 SaaS。如果极其重要的数据中心组成部分,比如共享平台组件或者应用程序受到攻击,那么由此可能导致整个环境遭受到损害。
那么针对这些安全隐患如何防范呢?具体的解决之道又是什么呢?实际上云通信的安全解决之道是双向的。既取决于服务商也需要用户采取相应的措施。那下面我们就从服务商和用户两方面来分析一下。
一、首先分析一下云通信服务商需考虑的安全问题:
作为云通信服务商,一般都会提供云通信所需的线上平台、安全设备等基础设施,也需要提供云通信运营运维的软件和服务。所以,服务商一般需要考虑的安全问题大致如下:
1、平台本身的安全性,线上平台是云通信服务的核心,也是云通信服务商需要着重处理和保障的,千万不能时常出现崩溃,无法访问等现象;
2、物理安全和网络安全,是云通信服务商需要首先考虑的两大主要因素,如物理设备隔离、网络隔离、通信保密、访问控制、流量控制等。例如SUBMAIL赛邮云通信年前采取的全网 https 协议通信,就是为了通信安全的考虑;
3、系统安全主要包括接入安全、密钥管理、补丁升级、漏洞防护、帐户管理等。再如SUBMAIL赛邮云通信刚刚上线的子账户功能就很好的保障了用户的账户管理的灵活性,增强了账户管理的安全性;
4、云通信服务商是否拥有保障安全的专业团队,也是一个非常重要的实力体现。如不法分子利用云通信平台发布的不良信息完全可以由安全团队对其进行审核,从而限制。
因此,用户在选择云通信服务商的时候,是需要充分考察和衡量该平台的安全措施的。这是能否提供可靠安全服务的重要参考点。
二、然后我们分析一下用户自身需保障的安全问题
千万不要以为安全防御仅仅是服务商需要考虑的,通过前面的分析其实我们不难看出,很多安全隐患和用户自身有着很大关联。用户自身需要保障的安全问题一般可以从以下几个方面描述:
1、作为一名用户,第一步需要充分利用云通信服务商提供的安全服务,保障自己应用系统或服务的安全。这些安全服务主要包括:安全组、防火墙、密钥对、VPN、审计日志等。
2、同时,用户需要利用云服务的一些特性,合理设计和部署,保护自己应用系统或服务的安全。
3、除此之外,大多数企业用户对接云通信服务的管理人员必须是可靠的负责人,企业用户可以根据自己的实际情况授予管理人员账户权限的高低,以防万一。
最后提醒一下用户应用系统或服务本身的安全设计,与你是否使用云服务是没有直接关系的。但用户自己的安全问题必定牵扯到自身业务的开展,增强保障总是百利而无一害的。
2013年,大名鼎鼎的云计算安全联盟CSA发布报告总结了云计算发展过程中可能遇到的安全隐患。这说明安全永远是互联网行业无法避免的核心问题。自从互联网诞生以来就一直伴随。作为云计算的重要应用之一——云通信已经成为主流通信方式,它的应用带给我们极大的便利,尤其是针对企业级用户大大降低了他们的成本且提高了效率。但与此同时,发展于云计算的云通信服务对于安全隐患基本上是一脉相承的。
所以有必要结合CSA 和云通信老司机的经验给大家总结一下云通信目前存在的安全隐患和解决方法。
自然我们还是先分析一下云通信存在的安全隐患有哪些?
一、数据隐患
对于现今的云通信平台来说无论是提供 SaaS 服务还是 PaaS 服务或者是SaaS、PaaS 混合服务。用户均需要导入大量数据资料,以及实时产生海量的数据反馈信息。不怀好意的黑客针对数据的攻击无论是服务商和用户都是极其危险的行为,如黑客攻击劫持用户账户,删除数据信息或者是将其泄露在整个互联网上,都会给用户和服务商造成非常大的损失。
二、接口隐患
云通信平台提供 API 接口是现在的通行模式。用户和第三方会利用 API 对云服务进行配置、管理、和监控。API 对一般云服务的安全性和可用性来说极为重要。用户和第三方因而经常在这些接口的基础上进行开发,并提供附加服务。这为接口管理增加了复杂度。如果这种做法要求企业将登录资料交给第三方,以便相互联系,因此其也加大了风险。
三、管理隐患
据观察在使用云通信平台的企业用户中大多管理人员均是在职员工或业务合作者,甚至有临时工的现象。通常来说这样的内部人员拥有比外部人员更高的访问级别,可以轻而易举的接触到重要的系统,最终访问数据。如果他们道德素养不高或者是和企业发生矛盾,存在报复心理,就可以轻易的造成很大的破坏。
四、服务滥用隐患
这里指的滥用主要指的是一些不法分子会使用云通信平台来发布一些不良信息内容。这种情况几乎从云通信平台发展起来的第一天就已经凸显。相比于传统的运营商接入的难度。无疑云通信平台的接入更加方便快捷,不法分子正式看上了这一点,才会利用云通信平台传播恶意的不良信息内容。对于这种情况只能是服务商加强监管,尽可能降低不良信息内容的传播。
五、共享隔离隐患
云通信服务商经常共享基础设施、平台和应用程序,并以灵活扩展的方式来交付服务。但是共享技术的安全漏洞很有可能存在于所有云通信的交付模式中,无论构成数据中心基础设施的底层部件是可重新部署的平台PaaS还是多用户应用程序 SaaS。如果极其重要的数据中心组成部分,比如共享平台组件或者应用程序受到攻击,那么由此可能导致整个环境遭受到损害。
那么针对这些安全隐患如何防范呢?具体的解决之道又是什么呢?实际上云通信的安全解决之道是双向的。既取决于服务商也需要用户采取相应的措施。那下面我们就从服务商和用户两方面来分析一下。
一、首先分析一下云通信服务商需考虑的安全问题:
作为云通信服务商,一般都会提供云通信所需的线上平台、安全设备等基础设施,也需要提供云通信运营运维的软件和服务。所以,服务商一般需要考虑的安全问题大致如下:
1、平台本身的安全性,线上平台是云通信服务的核心,也是云通信服务商需要着重处理和保障的,千万不能时常出现崩溃,无法访问等现象;
2、物理安全和网络安全,是云通信服务商需要首先考虑的两大主要因素,如物理设备隔离、网络隔离、通信保密、访问控制、流量控制等。例如SUBMAIL赛邮云通信年前采取的全网 https 协议通信,就是为了通信安全的考虑;
3、系统安全主要包括接入安全、密钥管理、补丁升级、漏洞防护、帐户管理等。再如SUBMAIL赛邮云通信刚刚上线的子账户功能就很好的保障了用户的账户管理的灵活性,增强了账户管理的安全性;
4、云通信服务商是否拥有保障安全的专业团队,也是一个非常重要的实力体现。如不法分子利用云通信平台发布的不良信息完全可以由安全团队对其进行审核,从而限制。
因此,用户在选择云通信服务商的时候,是需要充分考察和衡量该平台的安全措施的。这是能否提供可靠安全服务的重要参考点。
二、然后我们分析一下用户自身需保障的安全问题
千万不要以为安全防御仅仅是服务商需要考虑的,通过前面的分析其实我们不难看出,很多安全隐患和用户自身有着很大关联。用户自身需要保障的安全问题一般可以从以下几个方面描述:
1、作为一名用户,第一步需要充分利用云通信服务商提供的安全服务,保障自己应用系统或服务的安全。这些安全服务主要包括:安全组、防火墙、密钥对、VPN、审计日志等。
2、同时,用户需要利用云服务的一些特性,合理设计和部署,保护自己应用系统或服务的安全。
3、除此之外,大多数企业用户对接云通信服务的管理人员必须是可靠的负责人,企业用户可以根据自己的实际情况授予管理人员账户权限的高低,以防万一。
最后提醒一下用户应用系统或服务本身的安全设计,与你是否使用云服务是没有直接关系的。但用户自己的安全问题必定牵扯到自身业务的开展,增强保障总是百利而无一害的。