在好莱坞明星艳照门事件后,iCloud身份验证遭受质疑,那么,对企业而言,它足够安全吗?在本文中,专家Dave Shackleford将为大家解答这个问题。
在2014年8月份iCloud明星照片泄露事件后,苹果公司对其安全系统和政策做出了一些修改,包括当用户账户登录时发送电子邮件警报给用户。然而,在这个做法中仍然存在漏洞可能允许攻击者访问用户账户,而且用户不会收到提醒。
在本文中我们将探讨iCloud身份验证的情况,重点是企业需要知道的iCloud安全的关键方面。是否有办法让iCloud的使用在企业设置中被宽恕或者至少被容忍,还是没有办法?是否能够为它提供额外的控制?本文中也将为企业提供一些指导,让企业知道如何运用技术和政策来降低iCloud相关数据丢失的风险。
企业中的iCloud安全
iCloud真的适合企业吗?有些企业更愿意使用具有企业安全和监控功能的可管理的服务,例如Box.com或Google Drive,但同时很多IT部门允许使用iCloud作为BYOD举措的一部分。目前苹果正在努力让iCloud更适合企业使用,包括其iCloud Drive和Mail Drop,它们可以自动同步大型邮件附件到iCloud驱动器。
下一个问题是:它是否可以受到适当的保护?好消息是,在明星艳照泄露事件后,苹果已经增加了一些安全控制来加强iCloud账户安全。在iCloud中,邮件和笔记不会被加密,但大部分其他数据都会加密,包括iCloud Drive和iCloud Backup数据、日历、联系人、书签、照片和文档。对iCloud的所有连接还使用SSL来安全地连接和传输数据。
苹果公司一直要求用户对其iCloud服务使用高强度密码。所有访问iCloud的苹果ID至少需要8个字符,其中需要包括一个大写字母、一个小写字母和一个数字。这可能并不完美,但它符合目前很多企业密码政策。
苹果提供的额外安全措施
苹果为加强iCloud账户安全所做的两个最大的变更涉及当发生某些登录操作或账户设置被更改时发送给用户的警报,以及访问iCloud账户的双因素身份验证。该警报选项要求用户使用“已知”设备来验证其身份,然后他们才可以对其MyAppleID的账户信息做出更改,在新设备或iCloud.com登录到iCloud,或从新设备在iTunes、iBooks或App Store购买产品。用户可以在设备的设置中启用这个双因素身份验证,并且,这种验证方法通常会通过短信向移动设备发送PIN码。当登录操作完成或账户变更完成时,警报会发送到主账户电子邮件。这些电子邮件会有些许延迟,有些攻击者指出受感染的账户可以快速被配置为将苹果的电子邮件发送到垃圾邮件文件夹,防止用户发现。
如何降低安全风险
如果没有两步骤验证,攻击者仍然可以很容易地对iCloud身份验证进行蛮力破解,这让人们认为苹果的安全措施仍然不足。企业如何可以增强苹果的内置控制?为加强iCloud安全,安全团队可以使用的唯一控制类型是移动设备管理(MDM)控制,制定iCloud使用政策,并执行本地数据保护和身份验证来取代iCloud的做法。企业并没有简单的方法可以控制个别用户的iCloud账户,但企业可以制定新政策,说明对云服务(包括iCloud)的可接受使用和禁止使用,这是一个很好的开始。此外,传统代理服务器和内容过滤器等其他工具以及更专业的工具(例如Skyhigh Networks的内容监测)可以帮助检测和控制在有线和无线企业网络对iCloud服务的使用,但移动网络将仍然提供给用户使用。
总结
相比大多数企业存储选项,iCloud有着相对不成熟的安全选项。在大多数情况下,企业应该选择更安全的存储做法,但苹果公司提供的新功能让iCloud成为可用的选择,如果说不是理想的选择。
