RSA观点:云计算并不足够安全

DoSECU 安全报道 7月7日消息:RSA Security最新的市场调研结果显示,云服务推出之初没有对这些服务和他们所托管的信息予以足够的安全重视。

RSA Security的总裁兼EMC执行副总裁Art Coviello表示,尽管报告的结果是令人担忧的,但对于这些服务的提供商来说仍然有时间来解决这个问题。关键是这些服务提供商应该把安全看做是服务不可或缺的组成部分,而不是一种附加特性。

Coviello最近在接受IDC新闻社采访时探讨了云服务的安全问题。以下是谈话的内容:

IDC新闻社:对于调研报告的结果您感到意外吗?

Art Coviello:我很惊讶一些云计算在安全方面非常滞后,因为我一直将云计算看成是能真正改变人们靠近安全的方式的机会。基本上你是在从头开始重新构建信息基础架构。在所有这些遗留系统让位于云计算之前还有很长的过渡时间,无论是内部云,私有云还是外部云,混合云。我们应该具备相关的知识,对过去数十年间的安全问题都认真考量。

有一点我们必须谨记的就是我们从建立安全架构方面吸取的教训。说道这里,目前我们还处在非常初级的阶段。尽管我发现研究结果令人担忧,但我觉得没必要对此大惊小怪。

IDC新闻社:厂商没必要为所提供的服务承担连带的所有风险的责任是问题所在吗?如果他们必须完全为所有风险承担责任,这些服务是否会更加安全?

Coviello:如果购买这些服务的用户不够仔细就会产生安全问题。但是很难想象任何有责任心的服务提供商会故意让他们的产品存在安全隐患。否则他们会很快濒临破产。有一件事你可以确信无疑的是如果在这些服务中有任何的安全缺陷,用户就会去选择其他的基础架构。如果你已经将你的基础架构外包,那么在云环境中这么做还为时过早。

IDC新闻社:企业用户该如何知道云计算提供商提供的是安全的服务?

Coviello:企业应该有必要的资金和技巧来评估云提供商的实力和他们的安全能力,不进行彻底的调研就把所有的业务外包将是愚蠢的行为。

IDC新闻社:你认为云计算服务中最大的安全缺陷是什么?

Coviello:现在说这些还为时尚早。自云计算出现以来你看到了多少这样的案例呢?我可以列举出大量可能存在不安全风险的地方。人们所担忧的是信息的混合,可能这也是人们担心最少的,因为对数据进行区分是非常简单的事。人们更应该担忧的是什么是访问控制,验证机制又是什么,你该如何确保信息不会被泄露。

我担心的是这些方面,但是随着人们开始对云计算加强关注,还有一些事情必须被调研和注意。