2010年终盘点:安全仍然成云计算绊脚石

年关已到,静静地回想安全行业发生的一些事件和热点新闻,云安全是一个不可或缺的话题。今年看来,假如从天上掉下十块石头砸中十个中国会场,砸中九个会场的热点话题离不开云计算,在这九个关注云计算的会场中,安全问题也许是每个会场必讲的一个热点。

悲观云安全

云计算的安全是许多厂家和学者们焦虑和讨论的话题,对云计算的乐观与对云安全的悲观形成了鲜明的反差。Symantec(赛门铁克)公司和Ponemon机构所做的一项联合调查显示,30%的受访者称会在产品部署前评估云计算供应商,23%的受访者要求提供安全合格证明,只有19%的受访者表示提供了云应用时的数据安全培训,此外,有超过75%的受访者认为云计算效果低于预期。

大多数用户对于云计算缺乏信心的原因首先是因为对于云模式下的使用权限和管理权限有顾虑。在虚拟的、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。

虽然作为外包服务,云计算确实非常具有吸引力,但是对于企业和政府而言,云计算却是安全和法律雷区。云服务供应商经常对其数据中心和操作保密,并声称这样做能够提高数据安全性。

企业和行业分析师已经厌倦云计算供应商这种“不问不说”的态度,没有保密协议,也不回答问题,并且数据中心的位置和操作都被当作国家安全机密一样保密。而公共云服务供应商则认为他们的这种保密机制是适用于云模式的,并且所有云服务供应商都是这样做的。

安全专家表示,选择云计算的企业可能熟悉多重租赁(multi-tenancy,多个公司将其数据和业务流程托管存放在SaaS服务商的同一服务器组上)和虚拟化等概念,但这并不表示他们完全了解云计算的安全情况。云安全联盟(CSA)执行董事Jim Reavis认为, 云计算是计算机时代的新篇章,其实就是将各种技术集中在一起创造出一种具有独特管理制度的应用程序,但只要深入了解就会发现其不同之处。

企业运用云计算的速度通常都让安全专家感到惊讶,安全专家Reavis认为,企业应该采取更加务实的做法,例如采用风险评估来了解真正的风险以及如何降低风险,然后再决定是否应该部署云计算技术。

相关阅读:

在一次针对29家企业、技术供应商和咨询公司的调查中显示,企业用户更加关注云计算环境中的七个问题:

1. 数据丢失/泄漏: 云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。

2. 共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。

3. 内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。

4. 帐户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。

5.不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。

6. 没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。

7.未知的风险:透明度问题一直困扰着云服务供应商,帐户用户仅使用前端界面,他们不知道他们的供应商使用的是哪种平台或者修复水平。

七宗罪说明了云安全状况变化非常快,安全技术人员必须了解影响他们工作的种种因素,包括政府法律和行业标准等,并且他们应该清楚这些因素是否被正确运用到风险评估方法中,评估方法是否定期修改。毫无疑问的是,云计算确实给我们带来新的契机,但是这种新技术也意味着供应商的解决方案和技术也不断在发展。虽然企业可以信任云计算,但是并不能将所有责任都交付给云计算,企业必须对云计算中的数据或者程序进行必要的管理。