在这种经济萧条的大背景下,IT部门都面临着IT安全预算紧缺以及不断增强的合规要求等问题,企业们都在考虑是否应当将某些IT运营交给云服务供应商处理。事实上,每个人都深感压力,预算不够的情况下还要尽力保护数据的安全,特别是中小型企业,这也就意味着企业需要将部分IT运行外包给第三方以减少资金和人力方面的投资。
急切地投身到云计算中从安全角度考虑是很危险的,但是如果你认为你能够比服务供应商更好的保护你的基础设施,而完全不考虑云计算也是不明智的举措。其他错误想法还包括:认为将数据交给云服务供应商后就不再需要为数据安全保障负责人;认为是由你来决定企业是否以及如何使用软件即服务(SaaS):可能你会发现你是最后一个知道企业已经部署SaaS的人。
当企业在考虑或者决定将企业的系统、应用程序以及数据转移到基于服务的模式(即云计算)时,还会犯很多其他错误,这些错误包括:没有对云服务供应商的安全性进行验证和测试,不对供应商的可靠性进行核实,不做任何修改就将企业不安全的应用程序交给供应商,希望应用程序自动会变得更加安全。
让我们来仔细分析这六种常见安全云计算错误,以及如何避免发生这些错误。
错误1:认为云安全比不上数据中心
作为保护公司数据和知识产权的主要负责人,安全专家们基本上都有很强的控制欲望,这也让安全专家们产生这样的误会,“最常见的错误就是,只要我们谈论云计算,企业们就会认为云计算的安全性比不上企业自己的IT安全运营,”Forrester研究机构的主要分析师Chenxi Wang表示,“企业普遍认为,控制力度越强就越安全。”
事实上,对于像Google的SaaS这样的云服务,数据丢失发生的可能性不大,因为这些数据是可以随时随地被访问的,而不会被保存到容易丢失或者偷窃的USB存储设备或者CD,根据Google应用程序安全主管Eran Feigenbaum表示,Google的安全漏洞修复计划比一般企业的安全更新要更加有条理,因为Google的服务器结构很均匀。“很多攻击的发生都是因为企业缺乏安全漏洞管理和服务器的错误配置,对于我们而言,当新的安全补丁发布时,我们可以迅速对整个平台进行统一修复。”
SaaS和其他云供应商则具有更加整体的观点,Feigenbaum在4月份的RSA会议的云安全会议小组中表示,“对于企业而言,只能看到对企业造成威胁的一小方面。云供应商可以从更全面的角度来看待整体经济规模,云可以改变安全局势,也有能力提供更好的安全。”
但是这并不意味着企业可以盲目地相信云服务供应商,虽然较大型供应商可能能够提供更好的服务,Forrester研究机构的Wang表示,“云服务供应商是从更加复杂的水平来处理安全问题的,而不像企业IT团队一样, 只关注每天的需求。盲目的认为云安全提供的安全性不高或者存在更多问题都是不正确的。”
到目前为止,安全问题是云服务广泛部署的主要障碍,Sun公司的云计算首席管理官Michelle Denndy表示,“对云服务缺乏信任一直是阻止云服务广泛应用的因素,而不是云服务的技术能力,但是很多情况下,云服务比企业环境都更加安全。
错误2:没有对云服务供应商的安全性进行核实、测试或者审计
当你在选择服务供应商的时候,不要轻易就对供应商的安全性下结论,要对供应商如何保护你的数据以及供应商基础设施的安全性进行核实。“轻易相信供应商是不行的,你必须对云服务供应商的安全性进行核实、测试或者雇佣第三方对其进行审计,”惠普软件和解决方案安全工程师Dennis Hurst表示。
但是测试供应商的安全性也不是那么简单。并不是所有云服务公司对于自己的安全策略和规定都能够讲清楚,通常不能进行很好的沟通。“还有些不清楚数据中心云是如何被保护的,”VMWare公司的云解决方案主管Jian Zhen在最近的RSA会议上表示,“云服务供应商需要更好的解释云计算,让用户感觉舒服,并不是因为云服务供应商没有更好的安全性,而是因为不是那么透明。”
惠普公司的Hurst表示,要确保你的云服务供应商是以安全的方式隔离各个系统的,“企业并没有核查他们的系统和数据是否被分隔开来,他们只是确认虚拟机被分隔了,但是他们的应用程序可能在同时运行100个其他虚拟机的服务器上运行,并且供应商可能不会进行适当的隔离,或者IP地址不会被防火墙阻止。”
雇佣可信任的第三方验证云供应商的安全性,或者与供应商商量让你对其进行在线测试和验证,他表示,“供应商应该将他们如何分隔客户们的系统付诸文档形式,这样就比较容易让用户验证。”要确认虚拟机是否受到保护,你可以在环境外运行端口扫描来确认你不能进入其他客户的机器。
云服务供应商对于其安全和隐私的明确度可以判断供应商的安全性,“如果他们对于他们的安全能力很自信的话,那么相对来说,是比较安全的,”Forrester的Wang表示,“反之,如果供应商不太愿意谈论安全问题,那就要考虑别家供应商了。”
在过去几年,Google就已经开始提供关于SaaS安全性的详细信息,包括白皮书等,Feigenbaum表示,“也许不是在我们网站的首页,可能用户需要签署NDA或者其他要求,这样也是为了保持安全性与可见性之间的平衡。”
与此同时,云计算也提供了一种从数据方到云服务外建立安全的机会,Sun公司的Dennedy指出,“这应该是互联网所需要做的,”她表示,“现在我们需要选择最好的安全技术,并将这些技术部署到安全的云服务产品中。”
错误3:没有对云服务供应商的业务可靠性进行审查
第三个误区就是,在确认云服务供应商的业务可靠性前就完全信任供应商,“如果你的供应商明天突然消失的话,你能够做什么?”Hurst表示,曾经就发生过这样的案例,位于美国德克萨斯州的某家供应商就因为涉嫌非法活动,FBI突然查抄了这家公司并且没收了数据中心和计算机。“只有一台电脑用于非法目的,结果其他电脑也被没收了,”让客户蒙受了很大的损失。因此,用户们应该做好这方面的打算,最好将所有能够确保业务正常运行的内容拷贝一份,以防云服务供应商突然停止提供服务。
另外,你还需要确定云服务供应商是否有灾难备份计划,这对于较小型云服务供应商来说是挑战。
庆幸的是:我们很少听说云服务供应商突然停止提供服务的消息,而更可能出现的问题是与安全做法相关的问题。
而且到目前为止,企业们还只是将一些不是很关键的应用程序(如电子邮件程序)交给云服务供应商,这样云服务对其他企业应用程序可能带来的风险比较小。
错误4:认为数据交给云服务供应商后就高枕无忧了
不要认为将应用程序或者系统外包出去就意味着你完全不用对数据泄漏负责了,这也是很多中小企业持有的错误观点。将对数据的保护交付给云服务供应商并不意味着,当发生数据泄漏的时候,你就完全没有责任。
“最终,企业需要对数据泄漏负责,企业首席执行官可能受到裁决,而不是云服务供应商,”VMWare的Zhen在RSA会议上指出。
高度管制的企业通常能够很快意识到这一点,Forrester的Wang表示:“作为数据的所有者总是要对客户的数据负责任的。”
惠普公司的Hurst就表示他曾遇到过这样的事情,让云服务供应商受到攻击时,企业仍然需要负部分责任。他的前雇主将企业的医疗保险信息外包给了一家海外供应商,“当云服务供应商受到攻击时,公司仍然不得不承认他们丢失了数据,而且需要支付欺诈检测服务的费用。”
也就是说,当你将某个业务功能托付给第三方处理时,你并没有摆脱你的责任。
错误5:将不安全的应用程序放入云中希望以此能让不安全程序变安全
The key is properly preparing your applications and data for the transition, she says. 将有缺陷的旧IT系统和充满漏洞的应用程序交付给云服务供应商处理并不能自动让这些系统变得安全,“没有供应商会为你修复系统或程序的,”Sun公司的Dennedy表示,“不要幻想你扔给别人的垃圾会自动变成好东西。”
只有选择正确的供应商、外包合适的应用程序以及部署正确的规划,云计算才能够为企业提供更好的安全性和管理,但是对于那些没有适当控制的企业,这将是个很大的挑战。
“安全企业通常对于他们的架构都没有进行控制,”Zscaler的安全研究副总裁Michael Sutton,他还指出Gartner研究结果表明,60%的企业仍然在使用漏洞百出的IE6浏览器,这个结果太让人大跌眼镜了。
虽然说,不安全的应用程序在云服务供应商那里可以获得更好的保护,因为较少访问企业数据中心,但是说到底,不安全的漏洞应用程序仍然是一个隐患,“毕竟是不安全的应用程序,任何它访问过的数据都可能被盗窃,”他表示,“如果攻击者攻击了这个应用程序并且用它来发动僵尸网络,而又无法控制该程序,这样是很危险的。”
错误6:不知道企业业务部门已经开始使用某些云服务了
大家都知道IT安全通常都被认为是技术和业务运营的障碍物,而不是推动器。这种观念有时候会导致业务部门完全与安全脱节,你会突然发现,某一天业务部门与云供应商洽谈的业务,而完全没有考虑安全问题。
关键在于要防止企业内部在完全不考虑安全问题的前提下,与云服务供应商签署合同。企业可能制订了安全政策来定义云计算,以及围绕云计算的安全指导,但是如果这些安全措施不是严格强制执行的话,对除安全部门以外的部门将其不到任何作用。
Forrester'研究机构的Wang表示,IT部门很多时候都不知道企业内部其实已经在使用云计算服务。应该尽早的让安全部门参与进来,如果安全团队能够在评估和审核过程就参与进来,就能够确定企业的云服务安全需求, 这样企业就能够放心将系统程序交给云服务,专心进行业务。
当然,这也需要对业务方面的更多了解,而不只是技术方面。
【编辑推荐】