确保云计算安全的四大成功案例

有人认为,云安全是整个行业中最棘手的问题,而且它们在近期内不会被解决,但是也有人认为云安全并不是什么大问题,因为与客户相比云服务提供商拥有更严格的安全措施。

在许多关于这一话题的调查中,安全问题总是一个重要顾虑,它们也因此成为了许多IT商店的头等大事。目前已经有了一些安全标准创新方案,这些标准可能最终会帮助消除一些问题,但是目前距离这些标准的出台还有很长的一段路要走。

现在有一件事情以明确,即在没有亲自进行充分调查之前不要做任何假设。市场研究公司Gartner 的分析师Jay Heiser一直致力于研究企业和法规所面临的潜在风险。Heiser 称:“服务提供商可能正在为保护数据做大量工作,或是正在创建安全性更好的应用框架,这固然不错,但是最大的问题在于你如何确定他们正在做这些工作。如提供商无法(通过测试和数据验证)证明他们产品的安全性像他们所宣传的那样。如此一来,你将无法做出是否选择他们的决定。”

印第安纳大学摩利尔法学院网络安全应用研究中心主任Fred Cate称,在涉及云安全时,公司所面临的最大一个难题是,谁应当在法律方面承担负责。

Cate称:“云服务提供商认为公司应当为此承担责任,而公司则认为云服务提供商应当承担责任。为了解决这一问题,一些公司选择了微软等值得信赖的服务提供商。”不过,他指出,这一做法导致客户的可选择性大幅降低,同时这一做法也不能确保数据的安全性,因为你仅仅为你的云基础设施选择了一个知名的服务提供商而已。

幸运的是,一些新技术正在帮助确保云的安全,至少对于员工来说将知识产权或敏感数据公布在公有云上将变得更加困难。

美国联合航空公司:在飞机上部署云计算

美国联合航空公司开始着手进行一项激进的试验。美联航今年将为机组成员提供10000部苹果iPad.这些iPad将替代存放手册、航图和其它用于飞行准备的非敏感信息的飞行包。机组成员可访问Jeppesen等托管服务提供商,以获得在线飞行手册服务 .美联航还将iPad作为更新公司新闻和员工信息的通讯工具。

John Van Hoogstraten为美联航负责IT安全与风险管理的常务董事。他称,公司倾向于逐渐开展与云相关的部署,但是由于iPad等移动设备具有许多优势,因此他们无法再推迟相关的部署事宜,这些优势包括可以更好的管理飞行手册,降低燃料成本,因为机组成员不必再携带沉重的飞行包。

他称,公司目前正在使用赛门铁克的产品进行身份管理和病毒防护,下一步他们将考虑部署名为“赛门铁克O3云身份与访问控制”的单点登录产品以执行单一认证程序。

美联航负责IT安全与风险管理的常务董事John Van Hoogstraten称,他们正在考虑使用单点登录技术以简化云软件的认证。

Hoogstraten :“我们需要使用一个安全的认证系统以确保使用iPad的人的身份,尤其是在飞行员飞往那些缺乏安全保障的第三世界国家时。”他的计划是使用单点登录,因为其可以接入美联航的活动目录(Active Directory)系统并为机组成员访问服务提供商提供一个入口。这意味着飞行员不必多次登录不同的服务,这样一来可以节省飞行员们的时间。

单点登录是最常见的一种处理云安全问题的新机制。这意味着在发生问题时只有一个故障点。O3将作为一种工具在数据中心运行,这意味着所有的云访问都将流经该设备,这有可能会降低连接速度。

Heiser 称:“单点登录解决了云安全的根本问题,即便捷性与安全性的平衡。当然,认证并不总是最大的问题。让我们回顾一个Gmail(密码)事故吧。在事故中,人们能够轻易地获得访问权。许多公司应当意识到密码存在缺陷。”

为了解决这一问题,赛门铁克使用了双因素认证。典型的情况是,员工需要安装在iPad上的标记ID和密码才获取访问云服务的访问权。

Cate称,在处理类似iPad访问公司系统的新安全问题中,一个稳妥的解决方案是将安全审计作为部署内容的一部分。安全审计的一个好处是你可以发现一些潜在的风险,例如过度依赖于某一种策略。“如果你将大量数据存储在一个地方,那么你就越容易成为被攻击的目标,同时你也就越值得黑客花时间攻击你。”

他称,安全评估必须要细致,除了数据存储和策略外,还要检查类似iPad或智能手机等特定的设备。这意味着要使用自动化风险管理工具和进行风险评估。例如,美联航飞行员将率先使用iPad交流公司中发生的新闻。如果执行官们决定将向地勤人员部署平板电脑,那么公司应当对整体风险进行评估。

“每个公司都应当考虑这些问题:如果这么做的话,将会遇到多少麻烦?这么做的风险是多大?不要仅关注在法律生产上的麻烦,还要关注对公司声誉和股东带来的影响。”

罗克福德市:将社交网络记录存在云上

对于美国伊利诺斯州的罗克福德市来说,任何涉及云计算的解决方案都受到了政府法规的约束。例如,伊利诺斯州出台了《本地记录法案》。该法案规定公共记录,包括基于云的数据都必须留档一段时间。不过具体多长时间,州和市的规定不尽相同。

与此同时,罗克福德市决定启动新的交流方式与市民进行互动。该市的一名Web开发员与管理员Kevon Hayes称,市政府希望使用推特或脸谱,但是他们必须要找到一个办法以确定这些数据的备份能够被安全存储,并且在需要的时候能够被重新取回。

Kevon Hayes称,市政府希望使用推特或脸谱,但是为了遵守本地记录法,他们必须要找到一个办法确保这些数据的备份能够被安全存储。

罗克福德市选择了Backupify服务。该存档服务能够扫描市政部门领导发至社交网络上的贴文,并将这些数据存储到亚马逊S3云存储服务上。

Hayes称,大约有1000名雇员和6名部门领导会向社交网络发贴。他每三个月就会检查一下位于亚马逊上的XML数据,查看一下社交网络记录是否存储在那里。

Backupify还是一款可对来自谷歌Apps、 Gmail和Salesforce的数据进行存档的备份工具。由于数据被存储在亚马逊S3上,因此罗克福德市的数据能够通过亚马逊服务向多个远程位置传输。

Alan Brill为风险管理公司Kroll的一名分析师,他认为云安全不仅仅是加密远程连接和对用户进行认证。许多公司都忽视了员工在日常工作中访问社交网络和消费者网站的行为。

Brill 称:“公司是否将社交网络纳入其云安全整体策略中非常关键。所有的事情都存在风险。公司需要一些工具,以清楚正在发生什么事情,谁正在将什么信息贴在云上,以及如何获得这些数据。”

Cate 称:“云备份的最大优势是增加了灵活性。用户可以通过台式机或远程设备随时随地获取存档的数据。目前用于备份的磁带会出现退磁理现象,用户必须对备份手段进行升级。另一方面,选择云服务将会导致用户将具有重要价值的资源交到别人手中。因此用户应当对这一需要进行全面细致的调查。”

Cate认为,公司需要对数据存储位置进入调查。如果存储行为会跨越国家边境,用户应当及时确认这么做在法律方面会出现什么样的后果。如果数据被存储在其他国家,用户需要确认可以自由地访问这些数据。

Nice Shoes:确保远程审片的安全性

许多IT经理认为云安全就是保护数据或是确保在Dropbox上共享文件的“流氓”员工不会泄露公司秘密。不过对于靠制作电视广告和为Beyonce等艺术家制作MV为主业的Nice Shoes来说,云安全远远不止这些。他们的目标是保护创意内容的安全。

公司首席信息官Robert Keske称,经常会有客户提出希望参与非正式的审片会,查看工作的进展情况。

虽然视频将上传至云上,但是公司将会对它们的安全性与质量进行管控。这其中有两个重要的标准。一个标准是公司不希望发生原始素材被人窃取的事情。另一个标准是远在洛杉矶或是全球其他地方的客户所看到的视频在分辨率和色彩等质量上必须与制作者在纽约办公室里所看到的一样。

Nice Shoes首席信息官Robert Keske称,公司允许客户观看他们的电视广告和MV,但是公司十分重视对安全和质量的管控。

Nice Shoes安装了一个内部IPTV,实际上与你在家中看到的AT&T U-verse很相似。公司通过思科ASA 5520安全工具建立数据连接和一个IPsec(互联网协议安全协议)VPN.后者实际上是扩展了公司的私有网络。

为了保证质量达到标准,Nice Shoes使用了一项名为FEC(前向纠错)的技术。这种技术可以持续的监视数据流,并纠正传输中出现的像素级错误。在另一地的审片室将使用Nice Shoes为满足特定标准而安装的颜色校正软件。

另一个值得关注的特点是:Nice的IPsec被配置在思科的硬件上,其能够自动进行通报。这意味着客户不再需要对思科生态系统组成部分的设备做任何设置,当客户首次进行安全连接时,Nice Shoes的IT员工能够对设备进行远程设置。

由不提供公共访问,因此客户审片的安全性得到了进一步保护。客户只能通过端点工具观看广告或MV,这是唯一途径。如果没有设置适当的IPsec、VPN和FEC,那么系统将不会工作。

摩森康胜啤酒酿造公司:用云进行身份管理

在总部位于丹佛的摩森康胜公司内部,身份管理系统正在与时俱进。

公司首席安全信息官Kevin Schmitt发现,由8名员工组成的小型安全团队已经难以对现有应用提供支持。培训新的员工,设置密码,提供访问权限已经变为了一件十分累人的工作。目前,公司的身份管理极有可能转移到云上,主要是因为公司的数据中心已经外包给了服务提供商。

Schmitt 称:“我们必须找到一个新的身份管理系统。新系统不应当像现在这样零碎,同时其还必须包括所有的员工身份和外部合同商管理规定。”

Schmitt表示,他没有考虑单点登录产品,因为公司基础设施不仅仅涉及访问Web服务。他希望找到一个“综合性”解决方案,即身份管理系统能够横跨所有被托管的业务平台和Web服务,包括那些在本地托管的平台和服务在内。

最终,他决定与专门销售身份与访问管理软件的Lighthouse安全集团进行合作。在新系统大规模部署前,公司的老身份管理系统可以进行多重登录,甚至与指定的员工角色没有关系的人也可以登录。此外,摩森康胜公司还需要对配置与解除配置、Web SSL、登录、VPN和其它访问点进行管理。

Schmitt对复杂性有着充分的认识。在数据中心上运行身份管理系统方面,Schmitt的经验是必须要搞清楚自己的系统和传输至云身份管理上的主数据元素。同时,他还确信自己拥有管理系统的密钥,以防止提供商倒闭。

Schmitt权衡了云安全因素后认为学习身份管理将成为他手下员工们的一场噩梦。因为目前这些员工的压力已经很大了。“我不能说自己没有对新系统任何担心和怀疑。尽管这些云提供商的认证方式存在差异,但是公司内部的身份管理系统与它们相比没有任何优势。”

密切关注自己的数据平台,评估使用云服务的风险,然后确定它们是否能够满足公司的综合需求。Brill称,虽然云安全为决策带来了一些顾虑,但是如果充分理解其中的风险和它们影响公司的途径,那么可以缓解这些顾虑。

正在制订中的云安全标准

目前美国联邦政府正在参与标准的制订工作。美国联邦风险和授权管理项目(FedRAMP)试图出台一套云安全标准,以便于公司评估第三方云服务提供商。该标准目前还没有被公布。观察人士指出,FedRAMP还在紧张的讨论中。

第二个方案是通用保障成熟度模型(CAMM),其目的是开发出一套评分系统。该系统与数据中心电源使用效率(PUE)并没有太大的区别。Gartner的分析师Jay Heiser称,虽然这一个第三方评估程序应用前景不错,但是目前已经暂时了六个月时间。