趋势2:
鉴于维护物理IT基础架构的成本,更新服务器空间和偶尔使用云服务来配置应用工具的想法对于很多企业来说由于简单实用而很难拒绝。但是没有部署安全战略就贸然进入云领域就是一场冒险。
根据调研结果显示,有43%的受访者正在使用软件即服务或者基础架构即服务等云服务。还有更多的受访者在虚拟化技术上加大投入来帮助企业部署云计算。有67%的受访者表示他们现在使用的是服务器,存储和其他类型的IT虚拟化资产。在这些受访者中,有48%的用户深信他们的信息安全状况已经得到了改善,还有42%的受访者认为他们的安全还维持在原来的水平。只有10%的受访者表示虚拟化技术给他们制造了更多的安全漏洞。
厂商对于控制云安全风险的担忧
对于企业用户的云计算战略来说什么是最大的安全风险?
执行提供商安全协议的能力占:23%
培训和IT审计的不足占:22%
提供商处的访问控制占:14%
审计提供商的能力占:11%
将企业数据传递给其他人的可能性占:10%
提供商的持续存在能力占:4%
提供商法律法规遵从占:4%
安全可能在某些领域有一定改善,但思科系统公司的云和虚拟化解决方案事业部总监克里斯.霍夫这些专家认为用户和提供商都必须确保他们了解与技术,运作和企业更改这些技术可能带来的相关风险。
"当你考虑用户是如何看待虚拟化和虚拟化技术的实质含义时,你会发现虚拟化的定义在他们眼中是非常狭窄的–只是关于服务器整合。对你的应用软件和操作系统进行虚拟化,将物理服务器数量整合为更少的量–或者关于其他因素:比如客户端桌面系统,存储,网络,安全等等"霍夫称"然后你又将这种混淆强加到被微软和一些小型新兴企业推动的云计算的概念上去。你忘记了好好思考一些这种方式对于你的企业意味着什么。它会对你的基础架构产生怎样的影响?"。
幸运的是有种种迹象表明很多企业已经开始在这些方面加强戒备。Atmos Energy公司就是其中一个代表–Atmos Energy使用Salesforce.com来提高对用户的反馈时间,帮助销售部门管理日益庞大的客户资源池,公司的首席信息官Rich Gius这样说道。
这些努力迄今为止都是成功的,因此Gius目前正在调研在云上运行公司电子邮件系统的可行性。"这将帮助我们解决黑莓手机等移动设备收发电子邮件带来的挑战,而且这些移动设备在办公区域内正在逐渐广泛的蔓延开来"Gius强调说"但是考虑到风险问题我目前还没有做好更进一步的准备,因为一旦开始就很难进行约束。典型的案例就是今年5月发生的一次云提供商的服务中断事件,那次内容服务占到互联网总流量5%的搜索巨头谷歌公司遭遇了一次大范围的断电事故。当服务中断后,许多依赖云业务应用软件(诸如电子邮件)的企业顿时全面瘫痪。
断电并不是由黑客引起的,但是有迹象表明网络犯罪分子正在探索攻击云的方法来用于恶意企图。在断电的时候,攻击者通过大量加载带有恶意链接的谷歌搜索结论来雪上加霜,这也促使美国计算机紧急事故响应署向云服务站点发布了潜在风险警告。
美国计算机紧急事故响应署介绍说,攻击利用Adobe软件中已知的漏洞在受害者的计算机上安装恶意程序,从而感染了数千个合法网站。然后恶意程序会从受害者计算机中窃取FTP登录授权,使用这个信息区进一步自我传播。恶意程序还能劫持受害者的浏览器,用攻击者选择的链接来替换谷歌的搜索结论。虽然受害的网站并不特指提供云服务的网络,但类似的情况会让大家把矛头直接指向云服务提供商。
IT企业经常在配置物理和云IT资产上过于简单而给攻击者的入侵大开方便之门,因为这样会给攻击者留下大量容易发现并被利用的漏洞。在问及他们虚拟化环境中存在的潜在弱点时,有36%的受访者将问题归咎于错误的配置和匮乏的执行力度,有51%的受访者认为是对IT员工缺乏足够的培训(缺乏专业知识导致配置失误)。事实上,有22%的受访者将培训的缺失和审计不足(未发现漏洞)作为他们企业部署云计算战略过程中面临的最大安全风险。
这是出于这些考虑让Atmos Energy公司的Gius对此持谨慎态度。Gius表示"我们没有设置首席安全官的职位,如果我们是一家金融服务公司或是大规模企业,那么情况将另有不同。但是我们是一家中小型企业,员工数量的限制使得这些措施的执行变得愈发困难"。
即使具备适当的资源,云上的安全还要涉及管理多重平台的各种风险。没有单一的云。霍夫表示"有许多种云,他们之间没有关系,也不是生来就可以在应用软件层上共同运行的,他们大部分是由各自的平台和运行模式所有"。
PricewaterhouseCoopers的罗布表示完美的安全性是不可能实现的。"你必须在选择这些服务的同时积极关注安全控制。对于企业来说一旦他们放松了对数据和应用软件的控制,就很难重新回到原来的轨道,因为数据的流通速度很快以致你很难动用所需的硬件和技术来将这些服务收回到内部范围内。
罗布认为"如果你没有绳子就去挖井,你可能会找到水,但是由于没有绳子你却无法把水从井里打出来。如果你有安全缺口就必须离开云吗?如果你必须这么做就会吗?"。
趋势3
几年前,技术分析师预测管理安全服务提供商将获得长足发展。许多企业将安全作为一个陌生的概念对待,但是诸如沙宾法案,人寿保险便携式和责任性法案及Gramm-Leach-Bliley法案(影响金融领域)都迫使这些企业来加强入侵防御,补丁管理,加密和日志管理。
数据风险
针对数据发动的攻击比任何其他安全风险都增长的迅速。顶级目标:数据库。
攻击者如何获取你的数据:
数据库:57%
文件共享应用软件:39%
移动式媒体:23%
备份磁盘:16%
相信他们无法单独完成这些事情,企业选择外包商来替他们完成。Gartner咨询公司预测单是北美地区的管理安全服务提供商市场在2004年的销售额就达到9亿美元,到2008年这个数据又增长了18%。
然后就遭遇了金融海啸,虽然说安全预算保持稳定但给企业的外包计划蒙上了一层阴影。尽管今年有31%的受访者表示他们依赖外包商来帮助他们管理日常的安全功能,但仅有18%的受访者表示他们计划在未来一年内将安全外包作为优先考虑的事情。
提及特定功能,转变已经开始。去年有30%的受访者表示他们将应用软件防火墙的管理外包出去,而今年的比例仅为16%。受访者在网络和最终用户防火墙的外包业务量也出现了类似的下降趋势。企业还压缩了加密管理和补丁管理的外包业务。
同时,越来越多的企业在其他安全功能上花费金钱。有69%的企业标示他们为应用软件防火墙制定了预算,与过去的两年相比有轻微的上扬。同时超过一半的受访者表示他们他们在超便携式笔记本电脑和其他计算设备加密上加大了投入。
这个结论令PricewaterhouseCoopers的罗布感到意外。"当你有逻辑的考虑这个问题,你会发现一些IT企业具备资源和成熟度来管理他们的操作系统和补丁,但是很多企业没这种能力。这个数字只是意味着他们的安全认知度更加成熟了"。
安全预算保持稳定
越来越多的企业用户开始增加安全支出而不是销减支出。
支出的趋势:
安全支出增长的占到:38%
保持原样的占到:25%
安全支出下降的占到:12%
不清楚的占到:24%
由于化零为整的原因这些数据加起来不到100%
Atmos Energy公司的Gius提供了另外一种可能的解释:公司在安全领域的大规模并购行动中看到了太多的喧嚣。一家独立的安全厂商会被其他公司兼并或者收 购。典型例子包括BT收购Counterpane和IBM收购Internet Security Systems。IT领先厂商都纷纷回避,直到行业纷争归于平静。