围绕云计算的喧嚣可能会让你以为,明天就会发生大规模采纳云计算的事情。然而,来自多方面的研究已经表明,云安全是阻碍大规模采纳云计算的最大障碍。现实的情况是,云计算不过是沿着主机、客户机/服务器和Web应用等技术演变路径自然而然的又一阶段而已,所以它也和其他所有阶段一样,都有它自己的安全问题。
当然,对安全的担忧并不能阻止对这些技术的使用,也不能阻止对于能够解决实际业务需求的云应用的采纳。为了确保云是安全的,需要将其作为技术的下一步进化来对待,而不是将其视为一次需要彻底改变安全模式的革命。安全的策略和程序需要针对云模式进行调整,以便对云服务的采用做好准备。和其他的技术一样,我们看 到一些早期用户通过带头部署私有云或者在公用云中试验一些非关键性的应用而逐步打消了人们对于云模式的不信任。
企业和组织会询问很多问题,并权衡使用云计算解决方案的利与弊。安全性、可用性和可管理性都是需要考虑的因素。本文所说的是组织应该考虑的10个和安全相关的问题,回答这些问题有助于企业和组织能够对是否需要部署云作出决定,而且,如果需要部署的话,究竟应该采用哪种云模式——私有云、公用云还是混合云?
1.云部署会如何改变企业的风险管理?
部署云计算——无论是私有云还是公用云——都意味着你不再能够完全控制环境、数据或者人员。控制上的变化会带来风险管理上的变化——在某些情况下风险会增加,而在另一些情况下风险可能会降低。某些云应用对你来说会完全透明,而且能提供高级报表功能,并且能够与企业现有的系统进行集成。此类应用会降低企业的风险。而另外一些云应用或许无法改进其安全配置,无法与企业现有的安全措施相匹配,因此有可能使安全风险变大。总而言之,企业的数据及其敏感级别将会最终决定应采取哪类云模式才是合理的。
2.需要做些什么才能确保现有的安全策略能够接纳云模式?
向云模式的迁移是改进企业整体安全状况和安全策略的一个机会。云应用的早期用户将会发挥影响作用,帮助推动由云提供商实施的安全模式。企业不必为了云而去创 建新的安全策略,而是应该扩展现有的安全策略去容纳新增加的云平台。为了部署云而去修改安全策略,需要考虑的其实是一些和以前一样的因素:数据存放在哪儿,如何保护数据,谁能够访问数据,遵从哪些监管条例,以及服务等级协议等等。
3.云部署会损害企业的法规遵从能力吗?
云部署会改变企业的风险状况,因而可能会影响到企业适应各种法规遵从的能力。这就要求在合规性需要与云部署相关联时,需要重新评估合规性需要。有些云应用有很强的报表功能,可加以剪裁以适应特殊的合规性需要,而有些应用比较通用,不太可能或者不能适应详细的合规性需要。举例说,如果某个国家的法规规定,企业的数据不得存放在国境之外,然而有些云提供商由于其数据中心的位置有可能无法满足这一法规的规定。
4. 云提供商是否在使用某种安全标准(SAML、WS-Trust、ISO或其他)?
在云计算中,标准发挥着非常重要的作用,因为各种云服务之间的互操作性对于确保云不会陷入专利的安全孤岛来说是至关重要的。有不少的组织已经创建并扩展了支持云的各种标准倡议。Cloud-standards.Org列出了和云计算有关的大多数标准组织,其中也有和云安全标准相关的组织。
5. 如果发生数据泄漏该如何处理?
当企业在规划云安全时,必须要正确地制定好防止数据泄漏和数据损失的规划。这一点在企业与云服务提供商签署整体协议时是至关重要的一点。云提供商和企业双方都应该制定数据泄漏告知政策或者必须遵从的监管规则。企业必须敦促云提供商在一旦有需要时能够支持企业的告知需要。
6. 在保障企业数据的安全时,谁是责任方?或者谁应被视为责任主体?
在实际情况中,安全责任将是双方共担的。然而在公众舆论的法庭看来(至少今天是如此),是企业而不是云提供商负责收集数据,因此只有企业应被视为信息安全的最终责任人。如果企业与云提供商之间的协议签的滴水不漏,或许企业可以少负些责任,和云提供商责任共担,但是从企业客户的角度来看,企业仍然会被认为是最终责任人。
7. 如何保证只有适当的数据存入云中?
企业必须清楚哪些数据时敏感数据,依据数据和应用的关键与否来构建适当的安全模式,这对于了解哪些数据可以存入云中是非常重要的。这个过程应在考虑云部署之前很久就开始着手,因为这是良好的安全行为的关键部分。很多企业使用数据泄漏防范技术来分类和标记数据。
8. 如何保证只有经过授权的员工、合作伙伴和客户才能访问数据与应用?
身份管理和访问管理是早已存在的安全挑战,这种挑战在云部署中会被放大一些技术性功能,如联邦制、安全虚拟化系统和预配置等都在云安全中发挥着作用,就像它们在今天的IT平台上发挥的作用一样。扩展并补充企业的现有环境去支持云部署,将有助于解决这一问题。
9. 如何托管企业的数据与应用,怎样的安全技术才是适当的?
云提供商应当提供这方面的信息,因为它会直接影响到一个组织遵从法规的能力。透明是重要和必须的,因为这可以让企业基于对情况的了解而做出决策。
10. 企业可通过哪些因素去了解和信任云提供商?
在评估一家云提供商的信任等级时,有很多的因素可以考虑。这其中有很多因素和企业在考虑外包合同时所考虑的因素是相通的,比如:提供商及其服务是否成熟;合同的类别,SLA、漏洞程序和安全策略;提供商的业绩记录;是否具有前瞻性的战略等等。
向一种新的计算平台的迁移绝非一件不加慎重考虑便能做决定的事情。对这些问题的答案是复杂的,通常还会引出更多的问题。本文也只是触及了再考虑云平台时的一些有关安全的浅层次问题而已。
另外,企业还应当了解到,他们有能力去推动云中所用的安全技术的发展。应当明了,云的消费者可以、应该,并且会期待着他们负起安全责任来,从而使云成为一个真正能够节约成本,提高生产率的安全的平台。