众所周知,阻碍云计算广泛普及应用的最大原因便是对云安全的担忧,众多企业总是担心他们的基础建设迁移到云上以后会面临种种安全隐患,不过据Google表示,绝大多数的时候,将基础建设迁移到云上其实更安全。
通常企业都认为自己掌握主机会更安全,因为看起来拥有更多的自主权,不过Google安全主管Eran Feigenbaum说:“其实云内的安全状况要比大多数企业目前的安全情况要好上很多。”
相比传统的方案,特别是算上备份、防病毒、存储等各种费用时,云服务可以说是比较便宜的,更重要的是服务质量也没有下降。针对不同的企业和供应商,云供应商也会有不同的解决方案。可以确定的是,采用云计算能让企业目前的安全状况得到更好的改善。
在今年澳大利亚信息安全协会的全国会议上,Feigenbaum表示,在绝大多数情况下,提供云服务的供应商将决定其企业所能得到的安全级别。能够迁移到云中使用云服务的企业当然是信任云服务提供商的,在安全问题上服务提供商势必要认真对待,即便是不幸发生了一些安全事件,供应商也要保证他们的客户不会蒙受巨大损失。
他指出,现行的运作模式中,企业依然自己掌控着安全服务和软件的安装以及维护工作,因此,企业可以考虑更换到一个安全等级相对较高的服务环境里,以从日常繁琐的的安全工作中解脱出来。
不过,这同时也会出现一个新的挑战——云服务提供商显然不可能让企业去随便更改和查看他们的服务器,那么企业如何才能知道他们的云服务提供商的环境是否真的如他们所说的那样安全可靠呢?
现实的情况更可能是企业的云服务供应商不会让企业去在他们的服务器上进行取证,更不用说进入他们的数据中心。
所以,为了解决这一问题,云服务提供商通常会给出一些云供应商都会遵守的详细条款,对于那些企业有疑问的地方,他们会给出相应的审计报告以供参考。
企业应当主动要求查看审计报告的副本,如果供应商拒绝给你看报表,那说明他们很可能在隐瞒某些事情。不过,诸如Google这些服务提供商则表示,他们都会将这些报告提供给一些潜在的用户,尽管这些报告中可能会涉及一些机密信息。
Feigenbaum警告说,“不管企业选择哪个供应商,都不可能百分百的安全,若发生了某个安全事件,客户应当争取相应的权利,有权知道事件发生的整个过程。但是有一件事我必须要强调一下,如果你将数据迁移到云上,并且与供应商签订了有效的合约,若发生了安全事件并且影响了你的数据,毫无疑问,你的云供应商必须要通知你。你可能不需要知道细节,但是你需要知道是什么影响了你的数据,什么时候影响的,以及你的云供应商是如何进行修复的。”
简单的理论了解还远远不够,Feigenbaum建议企业进行一些安全事件的模拟演习,让企业了解到当发生安全事件的时候,企业应当如何进行应急处理,减少损失,而不是去学习如何挖掘那些复杂多变的安全漏洞。
他还建议到:为了更好地协助和准备相应的工作,应任命一位协调员,由这位协调员来负责跟进整个安全事件,对相关的安全事件进行分析,了解到底事件详细过程,协调相关的工程师、公关,让客户内部以及相关的客户支持等等有关人员和部门都能够互动起来。
他还解释到:这样做的另一个好处是,我们可以从模拟演练中吸取经验教训,并且协调员可以将模拟事件中的一些问题反馈给云服务供应商,以帮助他们确定该采取怎样的应对措施,以及确定在发生突发事件的时候该如何与供应商更好地合作。
