很多人总是认为云环境不太安全,而将应用程序和数据放在他们自己的数据中心才更安全。但真的是这样吗?早在2010年5月,CA和Ponemon研究所对900多名IT专业人士进行了调查,他们发现IT从业者认为在云环境安全风险更加难以控制,包括对数据资源物理位置的保护和限制特权用户访问敏感数据。该调查发现,IT人员承认他们不太清楚哪些计算资源被部署在云环境中,主要是因为这些都是由最终用户从非IT视角作出的决定。约有一半的受访者承认很多云资源在部署之前并没有进行安全评估。
也许所有对云环境的担忧源自于不安全的Web应用程序,而不是云本身。很多顶级web安全漏洞(如跨站脚本和SQL注入攻击)在web服务器刚被发明的时候就出现了,出于某些原因,它们仍然在很多企业系统中“作威作福”。更加讽刺的是,2010年Aberdeen集团的报告显示,基于云的web安全工具比企业内部安全工具出现更少恶意事件。
选择云服务的用户应该要求供应商回答以下四个问题:
1、数据存储在云基础设施时,数据是如何加密的,包括使用中数据和静态数据?
2、是否部署了细粒度访问控制?
3、是否有多余的云基础设施?
4、Web应用程序保护到位吗?
数据加密
数据存储在云端时是如何加密的(包括使用中数据和静态数据)?
大多数云供应商会自动加密传输中的数据(通过要求web浏览器进行SSL连接),但是这些数据是否被保存在加密容器中则是另一回事。最好的办法就是创建一个混合公共/私有云,这样所有云资源都可以位于企业防火墙后面,就像在自己数据中心一样受到保护。
大多数云供应商提供某种虚拟专用网(VPN)保护,这样信息在传输过程中将被加密,并且能够通过普通网络共享来访问。例如,Verizon公司的计算作为服务提供了思科的AnyConnect VPN客户端(从IE浏览器启动)。
其他云供应商提供虚拟防火墙,这个防火墙连接到企业数据中心内部的防火墙,或者与传统思科VPN网关连接。
Amazon网络服务之一虚拟私有云允许你连接任何Amazon云资源到你的企业位置,你可以桥接你的Amazon和企业网络,分配私有IP地址范围,在连接到互联网之前,从云环境运行的应用程序路由流量到内部安全设备。
细粒度的访问控制
细粒度访问控制是否到位?
安全政策和访问控制是云供应商仍然在努力追赶物理计算世界的领域。在很多情况下,访问是“全有”或者“全无”的命题,这意味着一旦用户通过云环境身份验证,他们就可以自由地做很多无意的破坏,例如启动或者停止虚拟服务器,或者在云环境制造其他混乱。
在这方面,一些云供应商要优于其他供应商,并允许特定环境内创建虚拟网络或者为个人客户分离访问权。举例来说,美国高尔夫协会想要创建一些新的 web应用程序,他们选择了较小的云供应商来获得这种粒度访问,因为很多不同的应用程序组要使用云环境。该协会的信息技术主管Jessica Carroll表示,“我们想要更多的个人支持,并希望我们的IT人员与云供应商靠得更近。我们使用VPN来连接到云网络,但是有两个不同的开发团队在云 服务的不同服务器上工作,我们进行了设置,让每个团队智能看到自己的资源,这样开发人员可以在不影响其他设备的情况下重新启动虚拟服务器或者进行其他改 变。”
Vmware近日向其vSphere产品系列添加了细粒度访问。其vShield Zones产品包括一个基于管理程序的防火墙来执行每个虚拟服务器的网络和端口连接,并在虚拟环境内设置安全政策和防火墙规则。Verizon的计算作为服务的用户可以根据每个虚拟服务器的端口和协议来设置防火墙规则,正如下图所示。
还有很多第三方安全工具,例如Hytrust的Vmware设备,允许更细粒度的访问控制,哪些用户对特定虚拟服务器有何种访问权限。
相信在不久的将来,云计算供应商将提供更好的粒度访问控制服务。
冗余基础设施
是否有多余的云基础设施?
冗余提供的安全性在于,不管你的云供应商的基础设施发生了什么事情,你的应用程序仍然安然无恙。
大多数云供应商通过运行独立的其他位置的数据中心来为用户提供自动数据保护,即使供应商的数据中心发生故障,你的基础设施仍然将继续运作。举例来 说,Amazon公司在北美、亚洲和欧洲都有几个不同的服务器“区域”,用户可以指定其虚拟服务器的位置并设定一个保护环境,这样出现任何故障,都能安然 无恙。对于美国高尔夫协会,Carroll也考虑了这种需要,他们的供应商在另一个位置提供了一个热点,防止任何停机事故。“我们为这种冗余支付了更多资 金,但是这让我们感觉很心安。”
应用程序保护
Web应用程序保护得如何?
所有云部署最不安全的方面在于其web应用程序及其与其他云基础设施连接的方式。目前的挑战在于虚拟化企业内部服务器提供的保护性设备,例如负载均 衡器、入侵防御设备和防火墙。主要云供应商都开始将这些工具添加到他们的服务列表中,这样IT开发人员可以将他们的应用程序迁移到云环境,并且仍然保持与 企业内部运行的程序一样的安全水平。
例如,Amazon的云服务器不能发送伪造的网络流量,不管它们运行的是何种操作系统。Amazon防火墙只允许使用其自身源IP或者MAC网络地址的流量,这是一个很好的保护。
美国密苏里州云托管服务供应商Savvis公司首席技术官Bryan Doerr谈论了自动化在云安全发挥的重要作用。“我们可以快速自动地提供一些东西,但是我们无法做到的是快速作出决定。向这个应用程序增加功能需要多 久?发现故障和作出响应要多久?既然我们已经虚拟化所有基础设施,并且自动化了一些程序,我们现在需要将决策也进行自动化。虚拟化让我们不再需要手动修补 电缆和设置设备机架。我们必须提前作出这些决定,按照政策来定义,然后实施到供应系统。这里的技巧在于弄清楚如何帮助客户进行他们的工作。”
最后,对供应商进行实地考察,“我们对云供应商进行了实地考察,看到了他们的UPS的样子,以及他们是如何管理他们的数据中心,”Jessica表示,“这让我们感觉更加踏实,选择他们作为我们的供应商。”