在微软、IBM等美国公司的鼓噪下,云计算成为被炒上了天的“高新技术”。实际上,云计算不过是应用模式的转变,远不是这些鼓吹者所描绘的玄乎。目前,信息安全工作人员曝出云计算在安全方面存在七宗罪,他们认为这七宗罪足以抵消云计算所带来的好处。
不少首席信息安全官认为,使用云方案以后就可以高枕无忧了;但如果他们知道云在程序运行中出现了多少错误后或许会变得夜不能寐。
用户登录的检查核对机制不完善
安全登录云的唯一方式就是通过企业身份管理系统。很多云服务允许企业的任何人不通过企业网站注册,就可创建自己云服务的用户名与密码,并能把云服务的授权证书与其私人邮箱地址连接。这种现象时有发生,但这并不意味着IT部门或者企业应该默许这种行为。“以这种方式开始提供的云服务,没有与企业IMS整合,这就使得企业面临策略违规、信息泄露的风险;而且,这些企业最终没有能力来保证云的安全性。”Axway的首席安全官说。
同样,一些公司快速部署了IaaS基础设施即服务,这也是利用了自我服务能力来解决其他部门对IT部门缓慢与无应答的投诉。但这种方式阻碍了管理,因为其允许在没有安全保护的情况下直接登录云服务器。
信息服务集团新技术调查员、云专家Stanton Jones就此解释称:“如此一来,员工就可以看到那些他们不具备查看权限的数据,比如说在VM虚拟机中的遗留问题数据。这些问题数据永远不会被关闭。”
API使用方法被忽视
来源:科技日报
