在09年4月在旧金山召开的RSA会议上,云安全是个非常热门的讨论话题,思科公司的CEO John Chambers称它为“安全噩梦”。即便如此,微软、IBM、谷歌和亚马逊等公司仍在努力推出他们的云解决方案,并表示云服务将为企业节省成本,特别是对于那些小型企业而言,这对于在经济衰退时期努力降低IT开支的企业而言非常具有吸引力。
虽然很多企业看到了将企业全部或者部分IT基础设施外包给云服务供应商的好处,但是很多技术决策者都很担心由于关键应用程序和关键数据都位于企业外面而不是自己的服务器上所带来的问题,安全仍然是云服务广泛部署的主要障碍。
对于那些需要遵守法律合规的公司,在将其数据丢给云服务供应商管理的时候必须特别小心。
担心云计算安全问题的TDM表示,云服务只不过是新瓶装旧酒。在1996年末和2000年初期的时候,就出现过对ASP(应用服务供应商)的大肆宣传,当时这种想法并没有受到关注,后来几年后改名为SaaS(软件即服务)卷土重来,但这也似乎没有引起大家的很大热情,直到转变为更大更吸引人的名称 (云计算)时才引起重视。这一次,名字和时间都非常恰到好处,全球经济不景气的大背景下,很多企业都在想方设法寻找消减预算的方法。有什么更好的方法可以实现这一点呢?而不是通过消减人员或者减少对价格高昂的硬件和服务器软件的购买?
然而,目前来看,有几个原因让很多公司仍然不太信任云计算。其中一个问题是,“云”涉及非常广泛的技术:基于网络的存储、在线应用程序、虚拟化等。云服务通常被分为三类:SaaS(软件即服务)、PaaS(平台即服务)以及LaaS(基础设施即服务)。不管这些类别是如何划分的,所有的云服务都有一个相同点:都依赖于互联网或者内部/私有的云计算,至少要在企业的局域网或者企业广域网上。没有网络,云服务是不可能实现的。除了安全问题外,这也让我们开始考虑云服务的可靠性问题。
云计算机的安全问题
云服务的透明度是对企业的最大吸引力,也是招致不信任的主要原因。整个重点在于企业可以专注于他们的业务,而将IT交给其他人管理,云服务的目标是实现一种完美的体验,而不需要这一切具体是如何运作的。但是如果企业不知道一切是怎么运作的,那么怎么知道安不安全呢?
企业们关注的最大安全问题就是云服务似乎可以归结为这样:失去控制。企业甚至都不知道他们的数据被存储在哪里了,也不知道部署了哪些安全机制来保护他们的数据。存储在磁盘上的数据有没有被加密呢?如果加密了,采用的是哪种加密方法呢?加密密钥是如何管理的呢?哪些人可以访问这些数据呢?
传统的企业安全模式在很大程度上取决于周边:防火墙和网关等。而云服务并不存在真正的周边,并且有些云服务供应商的服务条款(如亚马逊公司EC2服务)明令禁止企业扫描漏洞。
根据Gartner公司表示,有些公司担心的云安全问题不仅仅是数据存储的具体位置和使用的加密方法,而且还担心当安全泄漏发生时供应商会采取哪种协议(响应/恢复措施)?会提供什么类型的调查支持,以及云服务供应商的安全是否符合行业和政府规定的标准。
确保自己系统和网络上的信息是非常困难的事情,云服务提倡将企业的数据安全交给安全专家(如IBM、微软、Google和Amazon这些知名企业),能够提供比企业自己雇佣内部安全专家所能提供的更好的保护。但是,知名企业并没有真正了解你的问题,也更不会很关心你的问题,有时候也不一定能提供最优质的服务。
另一个问题就是,知名企业更有可能招致黑客和攻击者,大多数安全专家承认,之所以微软公司的Windows系统受到的攻击比Linux和Mac操作系统多得多,是因为windows的巨大市场占有率,攻击windows的黑客们能够获取更多有效的信息。同样的,对于云服务供应商系统的攻击,黑客们也自然会选择大型供应商的系统进行攻击以获取更多的数据。
缺乏标准造成威胁
最大的问题是,虽然每个云服务供应商都部署了安全措施来保护存储在其服务器上的数据,但目前仍然没有公认的云安全标准。很多组织如Jericho论 坛(一个安全智囊团)正在努力为云安全制定安全标准框架来帮助建立这样的标准,并帮助企业确定可以将哪些任务放心地托付给云服务供应商。他们的建议是,采 用标准化的易于使用的数据分类模型,并结合管理信任级别的相关标准和标准化的元数据来决定应该向每种数据类别进行怎样的安全保护。
美国国家标准和技术研究所(NIST)和国际标准化组织(ISO)也同样在努力建立云数据保护标准,然而,多重标准的存在也会带来复杂性,虽然知道 你的云服务供应商遵守各种标准是好事。
解决办法
目前来看,云计算仍处于初期阶段,不过好消息是,随着计算机操作系统和应用程序的开发安全发展,安全问题也开始考虑,并从一开始就部署了安全机制。 在三月份,eBay、Intuit、DuPont和ING成立了一个名为云安全联盟的组织,目的在于促进云环境的最佳安全措施。
与此同时,一群高新科技公司,如IBM、AT&T、 Cisco、Sun、 EMC 和AMD也已经共同签署了名为Open Cloud Manifesto的文件,表示支持将云计算服务成为尽可能“开放”的服务,这也意味着将最大程度地实现供应商间的互操作性。
随着安全标准的制定、通过以及被消费者接受,很多围绕云计算的安全问题将得到改善,与此同时,企业应该要仔细分析他们的云部署战略,不要掉以轻心。 向云服务供应商提出各种问题,明智选择将哪些任务交给云服务供应商,哪些存储在企业中自己进行控制。在很多关于云计算的讨论中常常被忽视的一个重要问题就 是,云服务不是一个绝对的服务,只能运用于某些任务而不是全部,聪明的云服务供应商通常能意识到这一点并以自助菜单的形式让客户选择,将不是太敏感的应用 程序丢给云服务,而稍后再将其他任务和数据交给云服务。