在这种经济萧条的大背景下,IT部门都面临着IT安全预算紧缺以及不断增强的合规要求等问题,企业们都在考虑是否应当将某些IT运营交给云服务供应商处理。事实上,每个人都深感压力,预算不够的情况下还要尽力保护数据的安全,特别是中小型企业,这也就意味着企业需要将部分IT运行外包给第三方以减少资金和人力方面的投资。
急切地投身到云计算中从安全角度考虑是很危险的,但是如果你认为你能够比服务供应商更好的保护你的基础设施,而完全不考虑云计算也是不明智的举措。其他错误想法还包括:认为将数据交给云服务供应商后就不再需要为数据安全保障负责人;认为是由你来决定企业是否以及如何使用软件即服务(SaaS):可能你会发现你是最后一个知道企业已经部署SaaS的人。
当企业在考虑或者决定将企业的系统、应用程序以及数据转移到基于服务的模式(即云计算)时,还会犯很多其他错误,这些错误包括:没有对云服务供应商的安全性进行验证和测试,不对供应商的可靠性进行核实,不做任何修改就将企业不安全的应用程序交给供应商,希望应用程序自动会变得更加安全。
让我们来仔细分析这六种常见安全云计算错误,以及如何避免发生这些错误。
作为保护公司数据和知识产权的主要负责人,安全专家们基本上都有很强的控制欲望,这也让安全专家们产生这样的误会,“最常见的错误就是,只要我们谈论云计算,企业们就会认为云计算的安全性比不上企业自己的IT安全运营,”Forrester研究机构的主要分析师Chenxi Wang表示,“企业普遍认为,控制力度越强就越安全。”
事实上,对于像Google的SaaS这样的云服务,数据丢失发生的可能性不大,因为这些数据是可以随时随地被访问的,而不会被保存到容易丢失或者偷窃的USB存储设备或者CD,根据Google应用程序安全主管Eran Feigenbaum表示,Google的安全漏洞修复计划比一般企业的安全更新要更加有条理,因为Google的服务器结构很均匀。“很多攻击的发生都是因为企业缺乏安全漏洞管理和服务器的错误配置,对于我们而言,当新的安全补丁发布时,我们可以迅速对整个平台进行统一修复。”
SaaS和其他云供应商则具有更加整体的观点,Feigenbaum在4月份的RSA会议的云安全会议小组中表示,“对于企业而言,只能看到对企业造成威胁的一小方面。云供应商可以从更全面的角度来看待整体经济规模,云可以改变安全局势,也有能力提供更好的安全。”
但是这并不意味着企业可以盲目地相信云服务供应商,虽然较大型供应商可能能够提供更好的服务,Forrester研究机构的Wang表示,“云服务供应商是从更加复杂的水平来处理安全问题的,而不像企业IT团队一样, 只关注每天的需求。盲目的认为云安全提供的安全性不高或者存在更多问题都是不正确的。”
到目前为止,安全问题是云服务广泛部署的主要障碍,Sun公司的云计算首席管理官Michelle Denndy表示,“对云服务缺乏信任一直是阻止云服务广泛应用的因素,而不是云服务的技术能力,但是很多情况下,云服务比企业环境都更加安全。
错误2:没有对云服务供应商的安全性进行核实、测试或者审计
当你在选择服务供应商的时候,不要轻易就对供应商的安全性下结论,要对供应商如何保护你的数据以及供应商基础设施的安全性进行核实。“轻易相信供应商是不行的,你必须对云服务供应商的安全性进行核实、测试或者雇佣第三方对其进行审计,”惠普软件和解决方案安全工程师Dennis Hurst表示。
但是测试供应商的安全性也不是那么简单。并不是所有云服务公司对于自己的安全策略和规定都能够讲清楚,通常不能进行很好的沟通。“还有些不清楚数据中心云是如何被保护的,”VMWare公司的云解决方案主管Jian Zhen在最近的RSA会议上表示,“云服务供应商需要更好的解释云计算,让用户感觉舒服,并不是因为云服务供应商没有更好的安全性,而是因为不是那么透明。”
惠普公司的Hurst表示,要确保你的云服务供应商是以安全的方式隔离各个系统的,“企业并没有核查他们的系统和数据是否被分隔开来,他们只是确认虚拟机被分隔了,但是他们的应用程序可能在同时运行100个其他虚拟机的服务器上运行,并且供应商可能不会进行适当的隔离,或者IP地址不会被防火墙阻止。”
雇佣可信任的第三方验证云供应商的安全性,或者与供应商商量让你对其进行在线测试和验证,他表示,“供应商应该将他们如何分隔客户们的系统付诸文档形式,这样就比较容易让用户验证。”要确认虚拟机是否受到保护,你可以在环境外运行端口扫描来确认你不能进入其他客户的机器。
云服务供应商对于其安全和隐私的明确度可以判断供应商的安全性,“如果他们对于他们的安全能力很自信的话,那么相对来说,是比较安全的,”Forrester的Wang表示,“反之,如果供应商不太愿意谈论安全问题,那就要考虑别家供应商了。”
在过去几年,Google就已经开始提供关于SaaS安全性的详细信息,包括白皮书等,Feigenbaum表示,“也许不是在我们网站的首页,可能用户需要签署NDA或者其他要求,这样也是为了保持安全性与可见性之间的平衡。”
与此同时,云计算也提供了一种从数据方到云服务外建立安全的机会,Sun公司的Dennedy指出,“这应该是互联网所需要做的,”她表示,“现在我们需要选择最好的安全技术,并将这些技术部署到安全的云服务产品中。”
(责任编辑:闫小琪)
