Index · Artikel · 8 Fehler zu vermeiden, wenn Cloud-Dienste zu sichern

8 Fehler zu vermeiden, wenn Cloud-Dienste zu sichern

2012-08-01 4
   
Advertisement
résuméEs gibt eine solide Nachfrage in diesen Tagen für Dienste wie DropBox.com oder Box.net , die ermöglichen eine einfache aber sichere File - Sharing mit der richtigen Privatsphäre Einschränkungen und Audit - Tracking auftreten. Ich war angenehm überras
Advertisement

Es gibt eine solide Nachfrage in diesen Tagen für Dienste wie DropBox.com oder Box.net , die ermöglichen eine einfache aber sichere File - Sharing mit der richtigen Privatsphäre Einschränkungen und Audit - Tracking auftreten. Ich war angenehm überrascht zu erfahren , dass es ein paar Unternehmen, wie FolderGrid und versuchen , das Problem der HIPAA-konformen Dateifreigabe zu lösen. Was FolderGrid tut, ist aber ziemlich einzigartig in der Gesundheitsversorgung - Infrastruktur - Software zu schaffen für andere Gesundheits - IT - Entwickler auf der Spitze zu bauen. Ich streckte die Hand aus , um Eric Simmerman, CTO bei FolderGrid sowie IT - Leiter und Chief Security Officer bei Pascal Metrics , ein Patient Safety Organization (PSO). Ich fragte Eric , um uns einige Lektionen , die er gelernt hat , und welche Fehler wir sollten es vermeiden , während die beiden Gebäude und Cloud - Services für den Gesundheitsmarkt zu bewerten. Hier ist , was Eric schrieb zurück.

Im Rennen selbst von den vielen Vorteilen des Cloud Computing zu nutzen, lassen sich nicht hinter der Sicherheit, wie Sie den Komfort der allgegenwärtigen Verfügbarkeit verfolgen. Es ist verlockend, auf neuere Technologien und Dienstleistungen mit besseren Fundamentaldaten gleichzusetzen. Aber wie die jüngsten Schlagzeilen haben gezeigt, selbst die etablierten Firmen wurden mit unzureichend und in einigen Fällen fahrlässige Praktiken gefangen, wenn ihre Kunden sensible Daten zu sichern.

8 Fehler zu vermeiden, wenn Cloud-Dienste zu sichern


Eric Simmerman, Pascal Metrics

Wenn Sie ein Ingenieur den Bau einer neuen Cloud-Service oder einen potenziellen Nutzer der Bewertung der Sicherheitsrichtlinien eines Dienstleisters sind - die folgenden acht Gebote helfen sollen Ihnen einige der Schwachstellen zu vermeiden, die bereits geführt haben, Kompromisse zu berücksichtigen, und sensible Daten Angaben. Eine solche Liste könnte hoffen, umfassend zu sein und dieser soll nur festzustellen, was sich aktiv als absolutes Minimum sollten vermieden werden. Wenn Ihr Dienst höher als Standard-Sicherheitsmaßnahmen erfordert, wie die Betroffenen HIPAA oder PCI-Compliance, sollten Sie laufen zu treten und von jedem Anbieter zu schreien, die sich an diese einfachen Grundsätze nicht einhält.

Werbung

1. Vergessen Sie nicht, Salz Ihre Passwörter

Ein kryptographisches Salz ist ein String zu Ihrem Passwort hinzugefügt , bevor es eine verschlüsselt wird Einweg-Funktion . Es ist ein wesentliches Element Passwörter zu schützen , wie LinkedIn zu ihrer Bestürzung im Juni dieses Jahres gelernt , als 6,5 Millionen ihrer Benutzerpasswörter auf einem russischen User - Forum gepostet wurden. Da diese Passwörter nicht gesalzen worden war , mehr als 60% von ihnen wurden geknackt sofort einfachen Wörterbuch - Attacken oder ähnliche Techniken. Salzen Passwörter ist eine triviale Akt (sowohl auf der Einführung und den Betrieb Fronten) und nicht die Passwörter eines modernen Systems Salzen einfach nachlässig ist.

2. Verwenden Sie MD5 nicht für Passwort - Verschlüsselung Hashing

Bei Chiphersteller Nvidia bis 400.000 zugelassen up Nutzer ihrer Foren Anfang Juli kompromittiert ihre verschlüsselten Passwörter hatte, wurden die Passwörter enthüllt wurden ungesalzene und verschlüsselt als MD5 - Hashes . MD5 wurde "tot" erklärt von reknowned Sicherheitsexperte Bruce Schneier über sieben Jahren und ist heute weithin als gefährlich unzureichend angesehen. Best Practices Mandat die Verwendung eines wesentlich komplexer Chiffre wie bcrypt .

3. Setzen Sie sensible Daten durch faul Design

Sloppy Bau einer modernen Benutzeroberfläche kann zu einer Plattform führen, dass Daten ungewollt austritt. Da die Verwendung von " AJAX " Technologien entwickelt hat, Web- und mobilen Anwendungen , die häufig "Push" große Mengen von Daten an das Gerät des Endbenutzers , wo sie verwendet werden , können mehrere Ansichten und Operationen ohne die Notwendigkeit zur Ausgabe eine neue Anforderung zu unterstützen. Dies führt in der Regel bessere Benutzererfahrung und wahrgenommen Anwendungsleistung.

Leider können unvorsichtigen Gebrauch dieser Techniken sensible Informationen Leck scheinbar gut geschützte Systeme äußerst verwundbar macht.

4. Verwenden Sie keinen gemeinsamen Schlüssel für die Verschlüsselung von mehreren Benutzern Daten verwenden

Sie würden nicht ein Büro in einem Gebäude mieten, wo jede Tür die gleiche Sperre verwendet und jeder Mieter wurde mit dem gleichen Schlüssel ausgegeben. Ebenso sollten Sie darauf bestehen, dass verschiedene Schlüssel für das Verschlüsseln von vertraulichen Daten in der Cloud verwendet werden. eine gemeinsame Verschlüsselungsschlüssel für mehrere Benutzerdaten Mit Themen alle diese Benutzer zusätzliches Risiko des Kompromisses. Wenn nur ein Objekt mit diesem gemeinsamen Schlüssel verschlüsselt erfolgreich angegriffen wird - jedes andere mit dem gleichen gemeinsamen Schlüssel verschlüsselt Objekt ist potenziell gefährdet.

Auf einem Multi-Tenant-Plattform ist dies umso wichtiger, da es eine sehr reale Möglichkeit ist, dass ein oder mehrere Ihrer Nutzer oder Mieter in böswilliger Absicht absichtlich den gemeinsamen Schlüssel zu handeln könnte beeinträchtigen und damit den Zugang gewinnen zu anderen Mieterdaten.

Als Beispiel für eine geeignete Konstruktion, verwendet Amazon Server Side Encryption Unterstützung einen eindeutigen Schlüssel für jedes Objekt gespeichert. Leider scheint es , dass nicht jeder Anbieter Angebot sensible Daten zu verschlüsseln , in Ruhe zu dieser Politik hält.

5. Verwenden Sie Reset-Token nicht ohne Exspirationen verwenden

Jeder Dienst mit dem menschlichen Benutzer und Passwörter benötigt eine Art von Passwort-Reset-Prozess. Diese werden typischerweise implementiert unter Verwendung eines "Reset-Link" oder "temporäres Passwort", die für einen Benutzer der E-Mail-Adresse der Aufzeichnung per E-Mail anfordert einen Reset durch. Leider scheitern die meisten Dienstleistungen für die beste Praxis der auslaufenden diese temporären Anmeldeinformationen nach kurzer Zeit zu halten.

Da es sich in diesem Monat Kompromiss bei Yahoo zeigt, sind E - Mail - Konten Hauptziele für die Verbreitung von Viren, die Verbreitung von Malware und Identitätsdiebe. Gut konzipierte Cloud-Services sollten es vermeiden, ein gültiges Passwort in einer E-Mail Speichern länger als unbedingt notwendig ist, das Passwort-Reset-Prozess zu unterstützen. Ablauf nach 15 Minuten ist eine gute Faustregel.

6. Sie Benutzer - Passwörter auf mobilen Geräten oder gemeinsam genutzten Workstations nicht speichern

Im Yin Yang im Vergleich zu Kampf der Sicherheit und Benutzerfreundlichkeit, Sicherheitsbedenken geben oft bis zu den Usability-Anforderungen der Endnutzer. Wenn ein Cloud-Dienst eine App auf einem gemeinsam genutzten Arbeitsstation oder einem mobilen Gerät installiert wird, erwarten Benutzer oft, dass sie dann nur einmal auf diesen Dienst anmelden erforderlich. Leider für eine App einen Benutzer unbegrenzt authentifiziert zu halten, muss das Kennwort des Benutzers in einer unsicheren Art und Weise bestehen die Sicherheit des Dienstes abhängig von der Sicherheit des Gerätes zu machen.

Wenn die App kann das Passwort nach einem Neustart oder einem Zeichen-out dann einen Angreifer mit speichern und lesen den Zugriff auf das Gerät kann das gleiche tun. Der Nachweis ist reich , dass Sie nicht in Besitz genommen ein Gerät mit Genehmigung für einen Dienst gleichsetzen sollte.

7. Nicht Authentifizierungs - Token bestehen

Das letzte Gebot mit dem Speichern eines Kennworts des Benutzers behandelt und dafür zu sorgen, dass das Passwort nicht von einem böswilligen Benutzer mit Zugriff auf derselben Workstation zweckentfremdet werden könnte. Dieses Gebot ist ähnlich, aber erinnert uns daran, dass das Passwort zu schützen, während die Authentifizierung ermöglicht durch andere Mittel beharrte entspricht "die Dose die Straße hinunter zu treten".

Dropbox litt etwas peinlich und unerwünschte Werbung für Fehler wie diese zu halten , nachdem die Benutzer entdeckten sie heimlich alle Dateien Konto in niemandes durch einfaches Kopieren einer Datei aus dem Opfer Computer zugreifen können.

8. Stellen Sie scheitern nicht die Integration mit modernen Workflows zu unterstützen

Es gibt ein altes Sprichwort Sicherheit , die besagt , "Je sicherer Sie etwas machen, desto weniger sicher wird es." Warum? Denn wenn die Sicherheit in die Quere kommt, gut gemeinte Benutzer Abhilfen entwickeln, die die Sicherheit besiegen. Daraus ergibt sich die Prävalenz von Türen von Papierkörben und von Passwörtern klebte auf der Vorderseite der Monitore stützte offen.

Wenn wir diese Lektion in den Bereich der Cloud-Services zu übersetzen es bedeutet, dass Sie die Bedürfnisse Ihrer Benutzer mit modernen Werkzeugen und Workflow-Integration unterstützen. Wenn Sie Nutzer sensible Dateien von Ihrem Service-Download nicht wollen und per E-Mail an Kollegen, dann müssen Sie da ein geeignetes Mittel der Verteilung und Zusammenarbeit bieten. Wenn Sie nicht über einen gemeinsamen Satz von Anmeldeinformationen möchten, dass Ihre Benutzer dann zu teilen machen credentialing und Delegation so einfach wie möglich.

Dies sind frühen Tagen für Cloud-Service-Provider und leider sind viele Schneidecken in ihre Push-to-Market. Wenn Sie einen Service - Provider Sicherheitspolitik ein bisschen Due Diligence sind die Bewertung heute können Sie sparen erhebliche Schmerzen morgen . Und wenn Sie den Dienst selbst Gebäude sind, sollten Sie nicht mehr nötig, dass davon zu überzeugen, diesen acht Gebote Einhaltung ist ein guter Anfang.

TOP

  • Day/
  • Week/
  • Original/
  • Recommand

Updated

  • Ihre Gesundheit Diese Woche

    Ihre Gesundheit Diese Woche
    In dieser Woche diskutiert Dr. Sydney Spiesel ein potenzielles Fett-Gen, das Verschwinden von Medikamenten Übelkeit zu kämpfen, und ob Schwimmbäder kann krank machen. Ein fettes Gen Kann ein Gen, machen Sie Fett? Zustand : Fettleibigkeit und Schwere
  • Tizanidine Behandlungsdauer?

    Hallo, ich leide unter Kopfschmerzen seit ich 8 Jahre alt war, eine chronische Kopfschmerzen in der Stirn jeden Tag, jetzt bin ich 33 Jahre alt und glaube, jeder Tag von der 8 Jahre bis jetzt 33 und ich leiden unter dieser Kopfschmerzen. Ich habe ver
  • Kann ich mit nortriptylie und fioricet Nehmen Sie Tizanidin?

    Ich habe Kopfschmerzen trennen und immer neckspasms haben kann ich alle drei Medikamente zur gleichen Zeit ----schneiden---- In Antwort auf Robinlyn ... bei 2011-10-26 22.26 Ich würde ein paar Stunden dazwischen warten. Gerade, falls es macht krank a
  • Müssen ich meine Babys Essen warm?

    Müssen ich meine Babys Essen warm?
    Frage: "Ich habe gehört, dass einige Leute wärmen sich nicht auf die Babynahrung oder anderen Lebensmitteln für Babys. Das Essen immer kalt ist, direkt aus dem Kühlschrank. Das gesund ist?" Antworten: Dies ist nicht so sehr eine Frage der Gesund
  • Rawesome Bombe platzen: Labortest Beweise gegen Sharon Palmer (Healthy Family Farms) gefunden ungültig; Behauptungen unsupportable

    Rawesome Bombe platzen: Labortest Beweise gegen Sharon Palmer (Healthy Family Farms) gefunden ungültig;  Behauptungen unsupportable
    Nach unserer Berichterstattung über Sharon Palmer, Inhaber von Healthy Family Farms, und James Stewart, der "Rohmilch Mann" und Gründer von Rawesome Foods in Kalifornien, erhielt ich einen Tipp von einer anonymen Quelle. Die Spitze gesagt, dass
  • Zweite massive Explosion trifft Chinas Produktion Kernland in Shandong als Währungskriege beschleunigen in Richtung WWIII

    Zweite massive Explosion trifft Chinas Produktion Kernland in Shandong als Währungskriege beschleunigen in Richtung WWIII
    Eine zweite, massive Explosion hat sich nun in der Provinz Shandong, China, nur zehn Tage nach der Tianjin Explosion getötet mehr als 120 Personen zu verzeichnen. Die Tianjin Explosion fand nur einen Tag nach China seine Währung um 1,9% abgewertet, d
  • Was ist so verwirrend Über Autismus?

    Was ist so verwirrend Über Autismus?
    In den letzten Tagen habe ich mit ganz wenigen Freunden und Verwandten unterhielten, die gesagt haben: "Ich habe sehr viel über Autismus gehört, aber ich bin mir nicht sicher, ob ich wirklich zu verstehen, was es ist. Können Sie es erklären, mich?&qu
  • Ovral - unter Problem beim Geschlechtsverkehr N SKIN BACK IN BEWEGUNG?

    Mein Partner (bf) während des Verkehrs er mit Schmerzen n seine Haut zurückziehen nicht in der Lage, es zu tun normalerweise immer gelten wir Öl n den wir benutzen pls genießen schlagen mir normalerweise zum Geschlechtsverkehr mit etwas mit ----schne
  • Wichtige persönliche medizinische Informationen

    Wichtige persönliche medizinische Informationen
    Es ist wichtig, bestimmte medizinische Informationen leicht zugänglich im Notfall zu halten. Der schlimmste Fall einer Notfallambulanz Antwort ist, dass die Mannschaft nichts über den Patienten kennt. Die gute Nachricht ist, dass wir für diese sehr S
  • Ist Omeprazole Urin dunkel schalten?

    Ehemann hat dies schon eine Woche bis 10 Tage und Urin ist sehr dunkel, auch tho er viel water.Any trinkt wissen, ob dies die Ursache ist? Danke ----schneiden---- In der Antwort auf DM-1 bei 2013.05.31 14.52 Bitte fragen Sie Ihren Apotheker oder Arzt