Index · Artikel · 8 Fehler zu vermeiden, wenn Cloud-Dienste zu sichern

8 Fehler zu vermeiden, wenn Cloud-Dienste zu sichern

2012-08-01 4
   
Advertisement
résuméEs gibt eine solide Nachfrage in diesen Tagen für Dienste wie DropBox.com oder Box.net , die ermöglichen eine einfache aber sichere File - Sharing mit der richtigen Privatsphäre Einschränkungen und Audit - Tracking auftreten. Ich war angenehm überras
Advertisement

Es gibt eine solide Nachfrage in diesen Tagen für Dienste wie DropBox.com oder Box.net , die ermöglichen eine einfache aber sichere File - Sharing mit der richtigen Privatsphäre Einschränkungen und Audit - Tracking auftreten. Ich war angenehm überrascht zu erfahren , dass es ein paar Unternehmen, wie FolderGrid und versuchen , das Problem der HIPAA-konformen Dateifreigabe zu lösen. Was FolderGrid tut, ist aber ziemlich einzigartig in der Gesundheitsversorgung - Infrastruktur - Software zu schaffen für andere Gesundheits - IT - Entwickler auf der Spitze zu bauen. Ich streckte die Hand aus , um Eric Simmerman, CTO bei FolderGrid sowie IT - Leiter und Chief Security Officer bei Pascal Metrics , ein Patient Safety Organization (PSO). Ich fragte Eric , um uns einige Lektionen , die er gelernt hat , und welche Fehler wir sollten es vermeiden , während die beiden Gebäude und Cloud - Services für den Gesundheitsmarkt zu bewerten. Hier ist , was Eric schrieb zurück.

Im Rennen selbst von den vielen Vorteilen des Cloud Computing zu nutzen, lassen sich nicht hinter der Sicherheit, wie Sie den Komfort der allgegenwärtigen Verfügbarkeit verfolgen. Es ist verlockend, auf neuere Technologien und Dienstleistungen mit besseren Fundamentaldaten gleichzusetzen. Aber wie die jüngsten Schlagzeilen haben gezeigt, selbst die etablierten Firmen wurden mit unzureichend und in einigen Fällen fahrlässige Praktiken gefangen, wenn ihre Kunden sensible Daten zu sichern.

8 Fehler zu vermeiden, wenn Cloud-Dienste zu sichern


Eric Simmerman, Pascal Metrics

Wenn Sie ein Ingenieur den Bau einer neuen Cloud-Service oder einen potenziellen Nutzer der Bewertung der Sicherheitsrichtlinien eines Dienstleisters sind - die folgenden acht Gebote helfen sollen Ihnen einige der Schwachstellen zu vermeiden, die bereits geführt haben, Kompromisse zu berücksichtigen, und sensible Daten Angaben. Eine solche Liste könnte hoffen, umfassend zu sein und dieser soll nur festzustellen, was sich aktiv als absolutes Minimum sollten vermieden werden. Wenn Ihr Dienst höher als Standard-Sicherheitsmaßnahmen erfordert, wie die Betroffenen HIPAA oder PCI-Compliance, sollten Sie laufen zu treten und von jedem Anbieter zu schreien, die sich an diese einfachen Grundsätze nicht einhält.

Werbung

1. Vergessen Sie nicht, Salz Ihre Passwörter

Ein kryptographisches Salz ist ein String zu Ihrem Passwort hinzugefügt , bevor es eine verschlüsselt wird Einweg-Funktion . Es ist ein wesentliches Element Passwörter zu schützen , wie LinkedIn zu ihrer Bestürzung im Juni dieses Jahres gelernt , als 6,5 Millionen ihrer Benutzerpasswörter auf einem russischen User - Forum gepostet wurden. Da diese Passwörter nicht gesalzen worden war , mehr als 60% von ihnen wurden geknackt sofort einfachen Wörterbuch - Attacken oder ähnliche Techniken. Salzen Passwörter ist eine triviale Akt (sowohl auf der Einführung und den Betrieb Fronten) und nicht die Passwörter eines modernen Systems Salzen einfach nachlässig ist.

2. Verwenden Sie MD5 nicht für Passwort - Verschlüsselung Hashing

Bei Chiphersteller Nvidia bis 400.000 zugelassen up Nutzer ihrer Foren Anfang Juli kompromittiert ihre verschlüsselten Passwörter hatte, wurden die Passwörter enthüllt wurden ungesalzene und verschlüsselt als MD5 - Hashes . MD5 wurde "tot" erklärt von reknowned Sicherheitsexperte Bruce Schneier über sieben Jahren und ist heute weithin als gefährlich unzureichend angesehen. Best Practices Mandat die Verwendung eines wesentlich komplexer Chiffre wie bcrypt .

3. Setzen Sie sensible Daten durch faul Design

Sloppy Bau einer modernen Benutzeroberfläche kann zu einer Plattform führen, dass Daten ungewollt austritt. Da die Verwendung von " AJAX " Technologien entwickelt hat, Web- und mobilen Anwendungen , die häufig "Push" große Mengen von Daten an das Gerät des Endbenutzers , wo sie verwendet werden , können mehrere Ansichten und Operationen ohne die Notwendigkeit zur Ausgabe eine neue Anforderung zu unterstützen. Dies führt in der Regel bessere Benutzererfahrung und wahrgenommen Anwendungsleistung.

Leider können unvorsichtigen Gebrauch dieser Techniken sensible Informationen Leck scheinbar gut geschützte Systeme äußerst verwundbar macht.

4. Verwenden Sie keinen gemeinsamen Schlüssel für die Verschlüsselung von mehreren Benutzern Daten verwenden

Sie würden nicht ein Büro in einem Gebäude mieten, wo jede Tür die gleiche Sperre verwendet und jeder Mieter wurde mit dem gleichen Schlüssel ausgegeben. Ebenso sollten Sie darauf bestehen, dass verschiedene Schlüssel für das Verschlüsseln von vertraulichen Daten in der Cloud verwendet werden. eine gemeinsame Verschlüsselungsschlüssel für mehrere Benutzerdaten Mit Themen alle diese Benutzer zusätzliches Risiko des Kompromisses. Wenn nur ein Objekt mit diesem gemeinsamen Schlüssel verschlüsselt erfolgreich angegriffen wird - jedes andere mit dem gleichen gemeinsamen Schlüssel verschlüsselt Objekt ist potenziell gefährdet.

Auf einem Multi-Tenant-Plattform ist dies umso wichtiger, da es eine sehr reale Möglichkeit ist, dass ein oder mehrere Ihrer Nutzer oder Mieter in böswilliger Absicht absichtlich den gemeinsamen Schlüssel zu handeln könnte beeinträchtigen und damit den Zugang gewinnen zu anderen Mieterdaten.

Als Beispiel für eine geeignete Konstruktion, verwendet Amazon Server Side Encryption Unterstützung einen eindeutigen Schlüssel für jedes Objekt gespeichert. Leider scheint es , dass nicht jeder Anbieter Angebot sensible Daten zu verschlüsseln , in Ruhe zu dieser Politik hält.

5. Verwenden Sie Reset-Token nicht ohne Exspirationen verwenden

Jeder Dienst mit dem menschlichen Benutzer und Passwörter benötigt eine Art von Passwort-Reset-Prozess. Diese werden typischerweise implementiert unter Verwendung eines "Reset-Link" oder "temporäres Passwort", die für einen Benutzer der E-Mail-Adresse der Aufzeichnung per E-Mail anfordert einen Reset durch. Leider scheitern die meisten Dienstleistungen für die beste Praxis der auslaufenden diese temporären Anmeldeinformationen nach kurzer Zeit zu halten.

Da es sich in diesem Monat Kompromiss bei Yahoo zeigt, sind E - Mail - Konten Hauptziele für die Verbreitung von Viren, die Verbreitung von Malware und Identitätsdiebe. Gut konzipierte Cloud-Services sollten es vermeiden, ein gültiges Passwort in einer E-Mail Speichern länger als unbedingt notwendig ist, das Passwort-Reset-Prozess zu unterstützen. Ablauf nach 15 Minuten ist eine gute Faustregel.

6. Sie Benutzer - Passwörter auf mobilen Geräten oder gemeinsam genutzten Workstations nicht speichern

Im Yin Yang im Vergleich zu Kampf der Sicherheit und Benutzerfreundlichkeit, Sicherheitsbedenken geben oft bis zu den Usability-Anforderungen der Endnutzer. Wenn ein Cloud-Dienst eine App auf einem gemeinsam genutzten Arbeitsstation oder einem mobilen Gerät installiert wird, erwarten Benutzer oft, dass sie dann nur einmal auf diesen Dienst anmelden erforderlich. Leider für eine App einen Benutzer unbegrenzt authentifiziert zu halten, muss das Kennwort des Benutzers in einer unsicheren Art und Weise bestehen die Sicherheit des Dienstes abhängig von der Sicherheit des Gerätes zu machen.

Wenn die App kann das Passwort nach einem Neustart oder einem Zeichen-out dann einen Angreifer mit speichern und lesen den Zugriff auf das Gerät kann das gleiche tun. Der Nachweis ist reich , dass Sie nicht in Besitz genommen ein Gerät mit Genehmigung für einen Dienst gleichsetzen sollte.

7. Nicht Authentifizierungs - Token bestehen

Das letzte Gebot mit dem Speichern eines Kennworts des Benutzers behandelt und dafür zu sorgen, dass das Passwort nicht von einem böswilligen Benutzer mit Zugriff auf derselben Workstation zweckentfremdet werden könnte. Dieses Gebot ist ähnlich, aber erinnert uns daran, dass das Passwort zu schützen, während die Authentifizierung ermöglicht durch andere Mittel beharrte entspricht "die Dose die Straße hinunter zu treten".

Dropbox litt etwas peinlich und unerwünschte Werbung für Fehler wie diese zu halten , nachdem die Benutzer entdeckten sie heimlich alle Dateien Konto in niemandes durch einfaches Kopieren einer Datei aus dem Opfer Computer zugreifen können.

8. Stellen Sie scheitern nicht die Integration mit modernen Workflows zu unterstützen

Es gibt ein altes Sprichwort Sicherheit , die besagt , "Je sicherer Sie etwas machen, desto weniger sicher wird es." Warum? Denn wenn die Sicherheit in die Quere kommt, gut gemeinte Benutzer Abhilfen entwickeln, die die Sicherheit besiegen. Daraus ergibt sich die Prävalenz von Türen von Papierkörben und von Passwörtern klebte auf der Vorderseite der Monitore stützte offen.

Wenn wir diese Lektion in den Bereich der Cloud-Services zu übersetzen es bedeutet, dass Sie die Bedürfnisse Ihrer Benutzer mit modernen Werkzeugen und Workflow-Integration unterstützen. Wenn Sie Nutzer sensible Dateien von Ihrem Service-Download nicht wollen und per E-Mail an Kollegen, dann müssen Sie da ein geeignetes Mittel der Verteilung und Zusammenarbeit bieten. Wenn Sie nicht über einen gemeinsamen Satz von Anmeldeinformationen möchten, dass Ihre Benutzer dann zu teilen machen credentialing und Delegation so einfach wie möglich.

Dies sind frühen Tagen für Cloud-Service-Provider und leider sind viele Schneidecken in ihre Push-to-Market. Wenn Sie einen Service - Provider Sicherheitspolitik ein bisschen Due Diligence sind die Bewertung heute können Sie sparen erhebliche Schmerzen morgen . Und wenn Sie den Dienst selbst Gebäude sind, sollten Sie nicht mehr nötig, dass davon zu überzeugen, diesen acht Gebote Einhaltung ist ein guter Anfang.

TOP

  • Day/
  • Week/
  • Original/
  • Recommand

Updated