云安全:现在就试一下这些技术

对于Logiq3公司来说,与基于云的基础设施提供商合作的决定是一个成本与灵活性问题。

Logiq3公司是一家总部位于多伦多的人寿再保险管理公司。这家公司在2006年才开始营业。据Logiq3的技术副总裁David Westgate称,由于是新公司,因此他们无法建立并运作一个数据中心。公司最终选择了云计算和管理IT服务提供商BlueLock公司以帮助他们解决对数据的需求。

BlueLock的虚拟化环境允许数据和容量以动态的低成本方式在两个系统间调整。Westgate称,这种方式在传统托管环境中不可能实现。

在Logiq3将他们的关键系统委托给BlueLock的云时,还有必须要解决安全疑虑。公司经常处理包括社会安全号码等个人信息在内的死亡记录,以及大型金融客户投保的主要资产的财务数据和信息

尽管Logiq3并不受到美国政府的《萨班斯-奥克斯利法案》的管理,但是在该公司金融业务的客户是受到该法案的管理的。对此Westgate称:"因此他们会对我们进行审计。"为此,Logiq3需求潜在的云服务提供商展示他们遵从适用的管理条例,并且具有很高的安全性。

并不是只有Logiq3一家公司遇到这一问题。尽管安全和符合问题出现在任何基于Web的外包安排中,公司无可非议的考虑将所有的事情都放到虚拟云上。Gartner公司的分析师Jay Heiser称:"这是一个相当新的服务领域,其风险目前还不可预测。我们无法知道它有什么样的危险。如果我们无法预测出事物的危险程度,那么我不得不认为它不是安全的。"

目前,云安全联盟LinkedIn组内的IT专家对黑客能够在何种程度上利用云弱点争的不可开交。迄今为止,还很少有黑客成功入侵公共云、大规模盗取数据的案例出现。不过,在去年冬天,一些黑客试图在亚马逊EC2云计算基础设施内建立一个Zeus专门盗窃密码的僵尸网络,这也是对由亚马逊服务器托管网站的首次黑客攻击。

换句话说,目前云计算行业还处于初级阶段。云厂商已经开始在安全性上奋起直追,IT经理们也开始试图准确找出云的风险,以及应对这些风险的方法。

对于云服务提供商和他们的潜在客户来说,关键的第一步是坐下来,决定谁将对IT基础设备的安全和防护组件负责。

有时候,特别是与IaaS提供商的协商中,劳动力部门是可流转的。比如说,Westgate决定让 BlueLock处理Logiq3的分配与配置管理,原因是他熟悉由Shavlik 技术公司提供的工具BlueLock软件。

Westgate称,由于没有哪一个公司和哪一个人拥有整个王国的钥匙,因此在Logiq3和BlueLock间的劳动力部门实际上强化了安全性。他称:"比如说,由于BlueLock管理着防火墙,我的任何一名管理员都不能进入和决定出售或移动数据。 BlueLock的管理员也无法这样做,因为他们并不控制系统。"

云服务提供商承担多少责任很大程度上决定于服务的类型。

安全厂商Trend Micro公司数据保护组高级总监Todd Thiemann称,在IaaS中,客户经常负责保护中间件和API之上的所有事物,包括应用和操作系统。比如,亚马逊IaaS服务条款中明确规定客户有责任保护放在公共云上的数据。

与IaaS形成鲜明对照的是,在软件即服务协议中,提供商通常负责保护云上的任何客户应用和数据。软件即服务通常更适合预算紧张的公司,因为这些预算紧张的公司可以获得更先进的安全技术和资源,而这些通常是他们无法负担的。

IBM在线协作服务副总裁Sean Poulley举例称:“IBM的LotusLive 软件即服务解决方案使普通公司拥有了与大型公司和重要企业相同的安全性,因为我们使用了相同的标准和管理。” LotusLive数据中心受到了物理和生物识别控制的保护,其中包括闭路电视。访问控制由IBM的企业级软件Tivoli控制。

许多云服务提供商,特别是SaaS厂商认为他们的安全实践和技术给他们带来了竞争优势,所以他并不愿意谈论他们解决安全性的办法。这意味着公司不得不采信厂商们的说辞。这些厂商一直宣传他们的系统是安全和符合规定的。

对此,Gartner的分析师Heiser称,:“这些厂商很少调整他们的安全风险评估。他们或许有难以置信的安全措施和强大系统,但是我们并没有证明这一切的办法。”

他指出,虽然诸如ISO 27001和SAS 70 Type 2等安全认证提供了一些保证,不过27001只是与云安全有关,当应用在新的技术形式中其是脆弱的。

法规挑战

公共云为管理法规带来了一系列新的挑战。如今,提供商、用户和管理者都开始重新审视这些问题。HIPAA和萨班斯 -奥克斯利法案中的隐私与数据保留规定并不是为云服务量身订做的。

Forkish 称:“IT人员不得不寻找新的方法分析和评估风险,以及如何符合规定。许多规定需要指出数据的位置、哪些在云上是不可能的。同时还需要合法搜索—在需要进有权访问数据。在由这些数据存储在云上,在第三方进行搜索时是否就不需要你的知情了?我认为这些是今后需要研究的。”

与此同时,Forkish建议,许多公司,特别是那些在高度监管的行业中的公司应当将他们的敏感数据交由私有云或是传统管理服务托管,并保持现状。

Westgate表示,他认为云计算是管理系统的一个自然演进。他称:“关于这一演进的关键之处不是为什么,而是为什么不。” 当然目前已经出现了许多像Logiq3公司的Westgate这样的先锋人物。