不管是對于商業還是家庭用戶來說，云存儲正成為一種流行產品。如亞馬遜S3、Box、Copiun和Thru等服務擁有功能豐富的產品，使用戶可以輕松地備份、同步和存儲文檔和文件。

 

盡管普通消費者在使用這類服務時，不需要有太多的顧慮，但是，在選擇云存儲服務時，從加密到數據生命周期管理，組織需要解決很多安全方面的問題。企業的新興領域關注于定義和控制訪問方法以及定義實現基于云存儲的控制 。

 

在本文中，我們將解釋為什么云存儲訪問控制是一個重要問題，以及在制定和實施云存儲訪問控制和架構時，企業應考慮哪些問題。 我們還將討論，在云提供商情境下，如何評估訪問控制。

 

 

無論是云提供商管理員還是企業用戶，管理訪問控制應該是首要考慮的問題。 例如，Jacob Williams在2013年的Black Hat Europe會議上介紹關于Dropbox惡意軟件交付、指揮和控制問題，以及說明了自由訪問云存儲庫是危險的，可能會導致數據泄露。

 

在2012年，Mat Honan的icloud帳戶被劫持，在這次泄漏事件中，使用了社會工程技術，并可能涉及鍵盤側錄。同時，由于該事件，許多以消費者為中心的例子，訪問控制問題仍然放在第一和中心的位置。限制哪些人可以訪問云存儲，如何訪問云存儲，以及從哪里訪問云存儲，在評估云存儲方案時，這些問題都應該作為重點問題考慮。

 

·以下是企業在實施云存儲服務時，關于訪問控制機制，企業應該關注的一系列問題：

 

·管理工具和其他管理應用存儲的用戶密碼使用加密格式嗎？ 如果使用了加密格式，是什么類型的？加密格式經過定期測試嗎？ 此外，存儲管理應用程序允許的密碼長度、類型和持續時間的設定與執行？

 

·云存儲基礎架構支持什么類型的安全連接？支持一般的安全通信協議嗎？如SSLv3 、 TLS和SSH？

 

·活動用戶的會話是否超時？ 如果沒有一個合理的超時時間，在空閑客戶端的端點，就會存在會話劫持的風險，是相當糟糕的。

 

管理工具支持多個管理員配置，來提供細粒度的安全水平？ 管理應用程序的訪問和配置云存儲應該根據時間、日期和功能來配置選項，從而限制管理員的訪問。 所有管理員的操作應該被記錄下來，用于審計和報警，并且這些記錄應提供給企業的安全團隊。

 

云存儲管理應用程序是否有能力定義細粒度角色和特權?為了保持適當的職責分離，以及執行最少權限原則,這種能力應該被認為是強制性的。

 

除了這些關鍵問題，應該仔細審查云存儲基礎架構訪問方法的整體設計和架構。 企業可以考慮的一種方法是“CloudCapsule，”是一種全新的云存儲訪問控制方法，由喬治亞理工大學信息安全中心（GTISC）在“ 2014年新興網絡威脅報告 ”中提出。 CloudCapsule利用本地安全虛擬機，用戶可以利用訪問云存儲，數據被發送之前會自動加密。 這樣的話，用戶的本地系統與云服務數據交換之間在一定程度上分離開，同時也使得發送到云環境中的任何數據都會自動加密。 繼GTISC開發的模型之后，目前很多組織要求所有的云存儲服務，通過虛擬桌面基礎架構的虛擬機，可以訪問，可以使用數據丟失防護（DLP）策略進行控制與掃描 。

 

與云存儲提供商直接對接的加密網關，也越來越受歡迎。 例如，CipherCloud代理可以自動加密發送到Amazon的S3、RDS和EBS存儲服務的數據，并且，可以自動加密發送到存儲提供商的數據，如Box。 端點安全工具，如whitelisting和DLP代理也可以用來限制云存儲客戶端的安裝，并且，新的基于網絡的監控工具，比如Skyhigh網絡公司可以監控、控制云存儲服務的訪問。

 

 

我們已經明確了組織如何審視云存儲訪問控制，但是，在云提供商環境內部的訪問控制措施，也應該進行仔細評估。 當評估云存儲提供商時，注意一些已經設置得當的訪問控制和數據保護策略：

 

首先，管理用戶，特別是存儲管理員，在訪問存儲組件和內部區域時，應按規定，利用強大的身份驗證方法。

 

提供商存儲環境下，應充分利用隔離和分割技術，比如安全分區，交換機和主機的結構身份認證，超過全球通用名或者iSCSI單獨限定名的值，以及單獨的交換機和整個結構的安全管理。

 

云服務提供商也應確保，每位客戶的服務系統，與其他網絡區分開，不論是在邏輯上還是在物理上，互聯網接入、生產數據庫、開發和中轉區、以及內部應用程序和組件創建了單獨的防火墻區域。

 

 

盡管基于云的存儲為企業提供了許多優勢，但是，在將寶貴的數據傳輸到云存儲提供商之前，有很多不能忽略的安全隱患。 值得慶幸的是，越來越多的安全廠商可以保證組織對云存儲進行適當的訪問控制。 只要企業事先做好準備，并且確保很好地解決了上述問題，云存儲對企業來說，是一個很大的優勢。