媒体服务的云安全

近年来，媒体公司对云服务的使用显着增长，并且这一趋势预计将继续快速增长。然而， John Maxwell Hobbs 报告称，这种指数级增长可能会带来风险，尤其是在安全方面。

这一增长的主要驱动力可归结为几个因素，包括对在线媒体内容的需求不断增长、从资本支出预算转向运营支出预算、对更具可扩展性和成本效益的基础设施的需求，以及越来越多地采用基于云的技术来实现以前在现场完成的功能，如文件交换和媒体转码。

推动云计算应用的其他主要因素包括：订阅流媒体服务和 FAST 频道的兴起，它们使媒体公司能够通过互联网直接向消费者提供内容；以及对协作性更强、效率更高的内容创建和分发工作流程的需求。

可以说，云计算的主要优势在于能够根据需要扩大和缩小服务规模，使广播公司能够支持大型体育赛事和音乐节等高需求活动，而无需为一年中大部分时间处于闲置状态的设备支付费用。

虽然云计算提供了许多好处，但与任何技术一样，也必须考虑安全威胁。

媒体服务的云安全：威胁

云计算的一些常见安全威胁包括：

1. 未经授权的访问：这是使用云服务的媒体公司面临的最重大的安全风险之一。网络犯罪分子可能会尝试通过窃取登录凭据或利用云服务提供商的安全基础设施中的漏洞来访问存储在云中的媒体文件。

2. 数据泄露：当敏感数据（例如个人信息或知识产权）被窃取、泄露或被未经授权的方访问时，就会发生数据泄露。发生这种情况的原因可能是云服务提供商的安全基础设施存在漏洞，或者员工处理数据时不小心。

3. 恶意软件和病毒：网络犯罪分子可能会使用恶意软件和病毒来访问存储在云中的媒体文件、窃取登录凭据或使用云基础设施对其他组织发起攻击。

4. 分布式拒绝服务 (DDoS) 攻击：这些攻击可能针对使用基于云的 CDN 的公司发起，导致其服务中断并可能影响收入。DDoS 攻击可能会使 CDN 流量超载，导致其不可用，或减慢向最终用户传送媒体内容的速度。

媒体服务的云安全：最佳实践

媒体公司可以采取多种措施来降低与使用云服务相关的安全风险。美国电影协会制定了云安全指南，作为其内容安全最佳实践总体指南的一部分，该指南由一组行业安全标准中的选择性要求组成。MPA 最近扩大了其可信合作伙伴网络 ( TPN )的范围，为云服务提供商提供认证。

亚马逊的AWS云托管服务、Adobe的Frame.io视频编辑协作平台和DropBox的文件共享服务是媒体公司最常用的三个云平台。他们对四种最重要的安全实践的方法描述如下：

强大的访问控制：包括双因素身份验证和基于角色的访问控制，以限制对云存储和处理服务的访问。员工只能访问他们完成工作所需的数据，并且在他们离开组织时应立即撤销他们的访问权限。

亚马逊：AWS 提供各种访问控制机制，以确保只有授权人员才能访问其客户的数据。其中包括用于管理用户访问的身份和访问管理 (IAM)、用于添加额外安全层的多重身份验证 (MFA) 以及用于控制网络访问的安全组。

Frame.io：Frame.io采用最小权限访问原则和基于角色的权限来实现严格的访问控制。管理员使用 Frame.io 管理 UI 向用户授予基于角色的精细权限。

DropBox：员工对 Dropbox 环境的访问由中央目录维护，并使用强密码、受密码保护的 SSH 密钥和双因素身份验证的组合进行身份验证。

对传输中和静态的数据进行加密：加密可确保未经授权的各方无法读取数据，即使数据在传输或存储过程中被截获。应使用强加密密钥，公司应实施密钥管理实践来保护其数据。

亚马逊：AWS 为静态和传输中的数据提供各种加密选项。客户可以使用服务器端加密在数据存储在 AWS 中时自动对其进行加密，也可以使用客户端加密在数据上传到 AWS 之前对数据进行加密。AWS 还提供密钥管理服务，允许客户管理和保护其加密密钥。

Frame.io：所有传输中的数据均使用基于 TLS 1.2 的 AES 128 GCM 进行加密，静态数据则使用 AES 256 位密钥加密。加密密钥由单独的密钥管理系统管理，该系统经过全面审核和监控。

DropBox：为了保护 Dropbox 应用和服务器之间传输的数据，Dropbox 使用安全套接字层 (SSL)/传输层安全性 (TLS) 进行数据传输，创建受 128 位或更高位高级加密标准 (AES) 加密保护的安全隧道。Dropbox 客户端（当前为桌面、移动、API 或 Web）和托管服务之间传输的文件数据通过 SSL/TLS 进行加密。此外，在网络上，它们将所有身份验证 cookie 标记为安全，并启用 HTTP 严格传输安全 (HSTS)。

定期安全评估：这些评估用于识别漏洞并确保安全控制按预期工作。安全评估应包括渗透测试、漏洞扫描以及云服务提供商安全控制的安全审核。

亚马逊：因为他们不一定对AWS环境上运行的应用程序有端到端的控制，所以亚马逊采取了“共同责任方法”，并提供了许多工具来支持客户运行自己的安全评估，包括AWS配置工具，允许客户持续评估、监控审核和评估其配置。此外，他们还与第三方安全专家合作，定期进行渗透测试，以识别潜在的安全问题。

Frame.io：Adobe 定期进行安全审查，着眼于威胁建模和代码审查。此外，他们还定期针对安全审查期间发现的薄弱环节进行内部和外部渗透测试。

DropBox：Dropbox 信任计划政策建立了风险评估流程，旨在解决环境、物理、用户、第三方、适用法律法规、合同要求以及可能影响系统安全性、机密性、完整性、可用性的各种其他风险，或隐私。绩效评估至少每年进行一次。

监控云基础设施是否存在可疑活动：此类活动包括未经授权的访问尝试或异常数据传输。云服务提供商通常提供可用于检测和响应安全事件的安全监控工具。

亚马逊：Amazon GuardDuty 是一项威胁检测服务，可持续监控 AWS 账户和工作负载是否存在恶意活动，并提供详细的安全发现结果以供可见性和补救措施。

Frame.io：Frame.io 使用 Adobe 的应用程序和操作安全堆栈 – 一组整合的工具，可帮助产品开发人员和工程师改善安全状况并降低 Adobe 及其客户的风险。

Dropbox：Dropbox 提供安全信息和事件管理 (SIEM) 以及分析工具来监控和评估用户共享、登录尝试、管理操作等。