DoSECU 安全报道 4月24日消息:旧金山消息:云安全成为本周举行的2009年度RSA大会上的关键议题,受到安全领域的普遍关注。
纵观整个2009年度RSA大会,参加大会的与会者尽管比往年的人数要少,但大家普遍关注云计算服务存在的安全隐患,包括数据丢失和数据完整性的保护,法规遵从,连带责任,可靠性,验证和授权以及信息生命周期管理。
思科系统公司首席执行官约翰.钱伯斯在他的主题演讲中表示"云计算服务安全是安全领域的梦魇,不能用传统方式来解决。很多人对企业数据中心的安全毫无概念"。
有专家称,云安全的发展速度明显滞后,在它跟上行业发展之前,企业必须意识到它的危险性,从企业利益和专业的风险管理角度去重视这个问题。
不过来自RSA联合发布的厂商倡议书对于解决云的不足应该有所帮助。举例来说,思科公司宣布的云安全服务就是要将危险数据域与互联网隔离开来,把他们推向用户。
趋势科技之前也发表过类似的声明。OfficeScan客户端服务器套装主要依靠趋势科技网络上的服务器来来取代桌面系统保护的传统方式(这种方式已经过时)来检查文件,网络内容和电子邮件的信誉度。
同样,迈克菲公司的首席执行官Dave DeWalt在他的主题演讲中公布了公司的安全产品规划,DeWalt预测了安全产品的发展走势,表示迈克菲的产品在不同种类的安全设备中将采用比传统方式更迅速的基于云的共享途径来寻找和阻断恶意程序。
网络服务提供商Savvis公司推出了网络应用软件防火墙服务,这项服务是以Imperva WAF应用工具或者驻留在互联网和网络之间的软件虚拟实例为基础的。Savvis公司表示他们认为青睐软件即服务产品的用户也会接受基于云的安全产品和服务。
RSA大会的发起人兼总裁Arthur Coviello表示,他的公司正与思科和微软合作,研发通用语言来实现知识产权共享,共同应对云和企业网络上的数据丢失风险。
不过用户在解决这些问题时,所采取的防御措施远远落后于公共云计算服务中已知的各种漏洞。
在RSA大会上,最初在美国和欧洲成立的两大主要的云安全组织已经展开非正式合作来督促厂商做出更多努力。
云安全联盟(CSA)利用本次大会作为平台号召对云计算安全实施标准化,他们发布了长达83页的"关注云计算重要领域的安全指导"用书,详细介绍了15个涉及安全的领域。
同样欧洲成立的Jericho Forum也对他们发现的安全隐患进行了阐述。
安全顾问克里斯.霍夫在云安全联盟的安全指南中负责体系架构的章节,他表示两家组织的合作正在日渐紧密。
这个组织声称他们的成员包括Eli Lily, eBay和ING等大型企业,他们需要利用这些厂商的影响力来解决云风险。霍夫表示"大型的最终用户企业对此会起到推动作用",他还呼吁大家推广云安全标准。
根据RSA专家的说法,现在存在很多标准,至少有15个云安全会议专门讨论过这个问题,但是这并没有影响到公共云服务普及的速度。
Deloitte-Ponemon Institute在RSA大会上公布的市场调研报告显示,事实上云计算服务的普及是不可阻挡的趋势。大约有45%的受访者已经购买了云计算服务,有22%的受访者表示他们正在考虑云计算。Deloitte-Ponemon的安全和私人服务部门负责人Rena Mears在会议上表示"外包云已经出现"。
Mears介绍说,如果云服务提供了他们所承诺的安全,多数企业就不会再制定审核的计划。这会让用户处在不确定的风险当中,企业应该承担私有用户数据面临风险的任何连带责任。
Sonnenschein Nath & Rosenthal公司的隐私权律师Randy Sabett表示,企业在签署使用云服务时经常不注意提供商规定的合同条款 。他表示"我们该如何衡量成本节约或者法律责任?用户和厂商都在忽略这种风险性"。
风险不仅来自数据丢失的隐患,而且还来自法规的冲突。举例来说,法规可能会要求对存储数据进行加密,但是用户如何知道提供商是否对数据进行了加密呢?法规在不同国家各有不同,因此提供商如何说明他们的数据是受到了欧盟范围内的特殊地理位置的约束?对于跨国界云该适用于哪里的法规呢?
企业应该明白所签订的服务是否已经提供了,或许可以从云所能满足的成型标准的第三方证明处获得帮助。
在RSA大会的私有简报里,惠普公司表示发行证明可能并不像看起来那么困难。惠普旗下的EDS服务交付运营部门副总裁Jim Alsop表示,公司正在考虑是否应该对云提供商的网络安全进行验证。
Alsop强调说,Control Objectives for Information and Related Technologies(简称COBIT)是许多企业用来满足萨班斯-奥克斯利法案的安全需求标准,它可以适用于安全验证。
用户对云计算服务的信任正在日渐升温,因为云计算服务能大幅降低运营成本,但是Time-Warner公司运营官Renee Guttman在RSA大会上强调说,云计算服务必须通过严格的安全检验。就像云服务能简化员工的工作负载一样,她希望能聘用专人来负责安全审核。
Guttman表示"我想把这部分外包出去,这样我就能对厂商进行连续监控"。这种第三方验证不仅能更好的利用资源,而且能更好的执行评估。事实上,这也是有需求的。